Bir bilgisayar korsanı, Şanghay şehri tarafından yürütülen bir COVID sağlık mobil uygulamasının 48,5 milyon kullanıcısının kişisel bilgilerini elde ettiğini iddia ediyor ve bu, Çin finans merkezinin verilerinin bir aydan biraz fazla bir süre içinde ihlal edildiğinin ikinci iddiası.
“XJP” kullanıcı adına sahip bilgisayar korsanı, Çarşamba günü hacker forum Breach Forums’da verileri 4.000 $’a (kabaca 3.20.000 Rs.) satmak için bir teklif yayınladı.
Kişi, telefon numaraları, isimler, Çin kimlik numaraları ve 47 kişinin sağlık kodu durumu gibi verilerin bir örneğini verdi.
Reuters’in ulaştığı 47 kişiden 11’i örnekte listelendiklerini doğruladı, ancak ikisi kimlik numaralarının yanlış olduğunu söyledi. Reuters, bilgisayar korsanının iddiasının gerçekliğini daha fazla doğrulayamadı.
Bu tür veri hacklerinin gerçek boyutu ve doğası bazen satıcı tarafından hızlı bir kâr elde etmek amacıyla abartılıyor.
XJP, aynı günün ilerleyen saatlerinde fiyatı düşürmeden önce başlangıçta 4.850 $ (kabaca 400.000 Rs) talep eden gönderide, “Bu DB (veritabanı), Suishenma’nın evlat edinilmesinden bu yana Şanghay’da yaşayan veya Şanghay’ı ziyaret eden herkesi içeriyor” dedi.
Suishenma, Şanghay’ın 25 milyonluk şehrin COVID-19’un yayılmasıyla mücadele etmek için 2020’nin başlarında kurduğu sağlık kodu sisteminin Çince adıdır. Tüm sakinler ve ziyaretçiler bunu kullanmak zorundadır.
Uygulama, kullanıcılara virüs kapma olasılığını gösteren kırmızı, sarı veya yeşil bir puan vermek için seyahat verilerini toplar. Halka açık mekanlara girmek için kodun gösterilmesi gerekir.
Veriler şehir hükümeti tarafından yönetiliyor ve kullanıcılar, uygulamayı indirerek veya fintech devi ve Alibaba iştiraki Ant Group’a ait Alipay uygulamasını ve Tencent’in WeChat uygulamasını kullanarak açarak Suishenma’ya erişebilir.
Şanghay hükümeti, Ant ve Tencent, yorum taleplerine hemen yanıt vermedi. XJP, İhlal Forumlarına ulaşıldığında yorum yapmayı reddetti.
XJP, “Daha atacak çok şeyim olduğu için soruları yanıtlamaya hazır değilim” dedi.
İddia edilen Suishenma ihlali, geçen ay bir bilgisayar korsanının Şanghay polisinden bir milyar Çin vatandaşına ait 23 TB kişisel bilgi sağladığını iddia etmesinden sonra geldi.
Bu bilgisayar korsanı ayrıca verileri İhlal Forumlarında satmayı teklif etti.
Wall Street Journal, siber güvenlik araştırmacılarına atıfta bulunarak, ilk bilgisayar korsanının, bir yıldan fazla bir süredir parola koruması olmadan halka açık internette açık bırakılan bir polis veritabanını yönetmek için bir gösterge panosu olarak polisten veri çalabildiğini bildirdi.
Gazete, verilerin Alibaba’nın bulut platformunda barındırıldığını ve Şanghay yetkililerinin konuyla ilgili şirket yöneticilerini çağırdığını söyledi.
Ne Şanghay hükümeti, ne polis ne de Alibaba, polis veri tabanı meselesi hakkında yorum yapmadı.
Çinli düzenleyici kurumlar, son iki yılda, sakinlerin kişisel verilerinin nasıl kolayca çalınabileceği veya satılabileceği konusunda yıllarca şikayetlerinin ardından, özel sektörün kullanıcı verilerinin yönetimi üzerindeki gözetimi güçlendiren bir dizi yeni kural açıkladı.
XJP’nin İhlal Forumları’ndaki teklifinin bir ekran görüntüsü Cuma günü Çin sosyal medyasında viral hale geldi ve birkaç Weibo kullanıcısını bu son sızıntıyı ve bunun daha geniş sonuçlarını tartmaya ve ne tür bir önlem alınacağını sorgulamaya sevk etti.
Bir tanesi, “Çin’deki veri sızıntıları artık gerçekten alışılmadık bir haber değil” dedi.
© Thomson Reuters 2022