hack Menawarkan untuk Menjual Basis Data Polisi Tiongkok dalam Potensi Pelanggaran

Dalam apa yang mungkin menjadi salah satu pelanggaran data pribadi China terbesar yang diketahui, seorang hack telah menawarkan untuk menjual database polisi Shanghai yang dapat berisi informasi tentang mungkin satu miliar warga China.

hack tak dikenal, yang menggunakan nama ChinaDan, memposting di forum online minggu lalu bahwa database yang dijual termasuk terabyte informasi tentang satu miliar orang China. Skala kebocoran tidak dapat diverifikasi. The New York Times mengkonfirmasi bagian dari sampel 750.000 catatan yang dirilis hack untuk membuktikan keaslian data.

hack, yang bergabung dengan forum online bulan lalu, menjual data tersebut seharga 10 Bitcoin, atau sekitar $200.000. Individu atau kelompok tidak memberikan rincian tentang bagaimana data diperoleh. The Times menghubungi hack melalui email di pos tersebut, meskipun tidak dapat dikirim karena alamatnya tampaknya salah.

Tawaran hack atas database kepolisian Shanghai menyoroti dikotomi di China: Meskipun negara tersebut berada di garis depan dalam mengumpulkan banyak informasi tentang warganya, namun kurang berhasil dalam mengamankan dan mengamankan data tersebut.

Selama bertahun-tahun, pihak berwenang di China telah menjadi ahli dalam mengumpulkan informasi digital dan biologis tentang aktivitas sehari-hari masyarakat dan hubungan sosial. Mereka mengurai posting media sosial, mengumpulkan data biometrik, melacak telepon, merekam video menggunakan kamera polisi dan menyaring apa yang mereka peroleh untuk menemukan pola dan penyimpangan. Investigasi Times bulan lalu mengungkapkan bahwa keinginan otoritas China untuk informasi warga biasa hanya meningkat dalam beberapa tahun terakhir.

Tetapi bahkan ketika keinginan Beijing untuk pengawasan telah meningkat, pihak berwenang tampaknya membiarkan database yang dihasilkan terbuka untuk umum atau membuat mereka rentan dengan perlindungan yang relatif lemah. Dalam beberapa tahun terakhir, The Times telah meninjau database lain yang digunakan oleh polisi di China.

Pemerintah China telah bekerja untuk memperketat kontrol atas industri data yang bocor yang telah memicu penipuan internet. Namun fokus penegakan seringkali berpusat pada perusahaan teknologi, sementara pihak berwenang tampaknya dibebaskan dari aturan dan hukuman ketat yang ditujukan untuk mengamankan informasi di perusahaan internet.

Tahun lalu, misalnya, Beijing menindak Didi, Uber yang setara dengan China, setelah upaya pencatatannya di Bursa Efek New York, dengan alasan risiko bahwa informasi pribadi yang sensitif dapat terungkap. Tetapi ketika otoritas lokal di provinsi Henan di China menyalahgunakan data dari aplikasi Covid-19 untuk memblokir pengunjuk rasa bulan lalu, para pejabat sebagian besar terhindar dari hukuman berat.

Ketika kebocoran yang lebih kecil telah dilaporkan oleh apa yang disebut hack topi putih, yang mencari dan melaporkan kerentanan, regulator China telah memperingatkan pihak berwenang setempat untuk melindungi data dengan lebih baik. Meski begitu, memastikan disiplin itu sulit, dengan tanggung jawab untuk melindungi data sering jatuh pada pejabat lokal yang memiliki sedikit pengalaman dalam mengawasi data. security.

Meskipun demikian, publik di China sering mengungkapkan kepercayaan dalam penanganan data oleh pihak berwenang dan biasanya menganggap perusahaan swasta kurang dapat dipercaya. Kebocoran pemerintah sering disensor. Berita tentang pelanggaran polisi Shanghai juga sebagian besar disensor, dengan media yang dikelola pemerintah China tidak writing itu.

Dalam posting online hack, sampel database Shanghai disediakan. Dalam satu sampel, informasi pribadi dari 250.000 warga China — seperti nama, jenis kelamin, alamat, nomor ID yang dikeluarkan pemerintah, dan tahun lahir — dimasukkan. Dalam beberapa kasus, profesi individu, status perkawinan, etnis dan tingkat pendidikan, serta apakah orang tersebut dicap sebagai “orang kunci” oleh publik negara tersebut. security kementerian, juga dapat ditemukan.

Kumpulan sampel lain termasuk catatan kasus polisi, yang mencakup catatan kejahatan yang dilaporkan, serta informasi pribadi seperti nomor telepon dan ID. Kasus-kasus tersebut dimulai sejak 1997 hingga 2019. Kumpulan sampel lainnya berisi informasi yang tampaknya merupakan sebagian nomor ponsel dan alamat individu.

Ketika seorang reporter Times menelepon nomor telepon orang-orang yang informasinya ada dalam data sampel catatan polisi, empat orang mengkonfirmasi rinciannya. Empat orang lainnya mengkonfirmasi nama mereka sebelum menutup telepon. Tak satu pun dari orang yang dihubungi mengatakan mereka memiliki pengetahuan sebelumnya tentang kebocoran data.

Dalam satu kasus, data menyebutkan nama seorang pria dan mengatakan bahwa, pada 2019, dia melaporkan kepada polisi sebuah penipuan di mana dia membayar sekitar $400 untuk rokok yang ternyata berjamur. Orang tersebut, yang dihubungi melalui telepon, mengkonfirmasi rincian yang dijelaskan dalam data yang bocor.

publik Shanghai security biro menolak untuk menanggapi pertanyaan tentang klaim hack. Panggilan ke Administrasi Keamanan Siber China tidak dijawab pada hari Selasa.

Di platform media sosial China, seperti Weibo dan aplikasi komunikasi WeChat, postingan, artikel, dan tagar tentang kebocoran data telah dihapus. Di Weibo, akun pengguna yang memposting atau membagikan informasi terkait telah ditangguhkan, dan pengguna lain yang membicarakannya mengatakan secara online bahwa mereka telah diminta untuk mengunjungi kantor polisi untuk mengobrol.