Hacker afirma haber robado datos de mil millones de ciudadanos chinos

Un ciberdelincuente anónimo está vendiendo varias bases de datos que afirma que contienen más de 22 terabytes de información robada. La información robada pertenece a aproximadamente mil millones de ciudadanos chinos y está siendo vendida por 10 bitcoins (aproximadamente $195,000).

El anuncio fue publicado en un foro de hackers por alguien que usaba el nombre de usuario ‘ChinaDan’. Él afirma que la información fue robada de la base de datos de la Policía Nacional de Shanghái (SHGA).

Según la información que compartieron con respecto a los datos presuntamente robados, las bases de datos contienen los nombres, direcciones, números de identificación nacional, números de información de contacto y varios miles de millones de antecedentes penales de residentes chinos.

ChinaDan también compartió una muestra con 750,000 registros que contenían información de entrega, información de identificación y registros de llamadas policiales. Estos registros permitirían a los compradores interesados ​​verificar que los datos a la venta no son falsos.

“En 2022, se filtró la base de datos de la Policía Nacional de Shanghai (SHGA). Esta base de datos contiene muchos TB de datos e información sobre miles de millones de ciudadanos chinos”, dijo el ciberdelincuente en su publicación la semana pasada.

“Las bases de datos contienen información sobre mil millones de residentes nacionales chinos y varios miles de millones de registros de casos. Esta incluye: nombre, dirección, lugar de nacimiento, número de identificación nacional, número de teléfono móvil, todos los detalles del crimen/caso”.

El actor de amenazas confirmó que los datos se extrajeron de una nube privada local proporcionada por Aliyun (Alibaba Cloud), parte de la red policial china (también conocida como red de seguridad pública).

Datos legítimos

El domingo, el CEO de Binance, Zhao Changpeng, confirmó que los expertos en inteligencia de amenazas de su compañía detectaron las afirmaciones de ChinaDan. Ellos dijeron que la filtración probablemente se debió a una base de datos de ElasticSearch que una agencia del gobierno chino expuso accidentalmente en línea.

“Nuestra inteligencia de amenazas detectó que mil millones de registros de residentes están siendo vendidos en la web oscura. Los registros incluyen el nombre, la dirección, la identificación nacional, el móvil, los registros policiales y médicos de un país asiático. Probablemente debido a un error en una implementación de Elastic Search por parte de una agencia gubernamental.” 

“Esto tiene un impacto en las medidas de prevención/detección de hackers, números de teléfonos móviles utilizados para la apropiación de cuentas, etc.”

Zhao Changpeng 

Zhao agregó más tarde que “aparentemente, esta infracción ocurrió porque un desarrollador del gobierno escribió un artículo de tecnología en CSDN y accidentalmente incluyó las credenciales”.

La reportera del Wall Street Journal, Karen Hao, se acercó a docenas de personas a las que supuestamente les robaron sus datos en la filtración. Ella dijo que algunas de ellas confirmaron toda la información disponible en la muestra filtrada.

“En este punto, es imposible confirmar la magnitud de la fuga de datos. Sin embargo, cinco de las personas que entrevistaron verificaron todos los detalles del caso que figuran con su nombre, información que sería difícil de obtener de cualquier otra fuente que no sea la policía.”

“Los otros cuatro confirmaron información básica como sus nombres”.

Hao. 

Si se demuestra que las afirmaciones de ChinaDan son precisas, esta sería la violación de datos más importante que haya afectado a China. Asimismo, es una de las filtraciones más grandes de la historia.

Origen de la filtración 

Después de unos días de conocerse la noticia, Zhao Changpeng citó un error humano como la razón probable por la que los hackers obtuvieron los datos personales de mil millones de personas en China. 

Tal como se especuló desde el principio, un desarrollador del gobierno escribió un artículo en China Software Developer Network (CSDN) que accidentalmente incluía las credenciales del sistema donde se almacenaban los datos. CSDN es una de las redes de desarrolladores más grandes de China.

Con múltiples fuentes confirmando que los datos parecen ser legítimos, la noticia causó un gran revuelo en la industria de la seguridad. Los expertos la han calificado como la mayor brecha de seguridad cibernética no sólo en la historia del país, sino quizás en la historia.

“Si ChinaDan está diciendo la verdad, entonces esta es una de las filtraciones de datos más grandes de la historia, y fue causada por una gestión de contraseñas deficiente”.

Josh Stahl, analista del centro de operaciones de seguridad de BreachQuest, una empresa de seguridad de respuesta a incidentes. 

La ventaja, si la hay, es que la causa raíz de la infracción no indica “algún nuevo exploit o malware sigiloso, sino un simple descuido de la gestión de credenciales”. 

Error humano…una vez más

El incidente nuevamente arroja luz sobre el problema de seguridad más persistente desde el inicio de las computadoras e Internet: el error humano. De hecho, un informe anual sobre infracciones de datos de Verizon, el Informe de investigaciones de filtraciones de datos (DBIR) de 2022, citó al “elemento humano” como responsable del 82% de las violaciones analizadas por los investigadores. Específicamente,  un 13% fue atribuido directamente a errores humanos.

Dado que todavía no se puede confiar en las personas que supervisan datos confidenciales para protegerlos, el incidente demuestra una vez más que las empresas deben tomar numerosas medidas. Estas medidas deben ir más allá de los sistemas de protección con contraseña que almacenan datos para garantizar que no caigan en las manos equivocadas.

“Este es el resultado final de una falla catastrófica en la implementación de la administración básica de contraseñas y la administración de secretos. Los secretos, como las credenciales de la base de datos, nunca deben codificarse en el código fuente, que es lo que causó la infracción”.

Craig Lurey, CTO y cofundador de la firma de software de ciberseguridad Keeper Security

Otro experto en seguridad aconsejó a las organizaciones que establecieran un modelo de detección de comportamiento y defensa en capas. Esto para evitar que el error humano provoque fugas de datos potencialmente catastróficas.

“Hackers hackeados”

El incidente también parece cambiar el guión de China. China es un país bien conocido como uno de los mayores perpetradores de delitos cibernéticos, patrocinados por el estado y de otro tipo.

Por lo general, China tiende a ser el actor detrás de la actividad delictiva cibernética, no la víctima de la misma. Aunque también es cierto que es difícil saber con qué frecuencia los propios ciudadanos chinos son objeto de ciberdelincuencia debido a la falta de mecanismos de información transparentes en ese país sobre dicha actividad. 

Pero en un país con un gobierno que notoriamente recopila montañas de datos sobre sus propios ciudadanos mientras impone estrictas restricciones sobre los datos y recursos de Internet a los que ellos mismos pueden acceder y utilizar, no sorprende que algunos de estos datos eventualmente caigan en manos de delincuentes.

Y ya hay precedentes de filtraciones de datos de alto perfil que exponen los datos personales de los ciudadanos chinos. En 2020, por ejemplo, se filtraron datos confidenciales de alrededor de 2 millones de miembros del Partido Comunista de China (PCCh). Los datos incluían registros oficiales e información relacionada con su actividad en organizaciones globales.

Hasta el momento, las autoridades de Shanghái no han respondido públicamente a la última filtración de datos, ni están respondiendo a las solicitudes de comentarios.