Une base de données récemment volée contenant des informations personnellement identifiables sur un milliard de citoyens chinois est restée en ligne, non protégée par des informations d'identification (ouvre dans un nouvel onglet) et accessible à quiconque savait où chercher, selon les rapports.
Le Wall Street Journal a déclaré qu'une enquête est actuellement en cours pour déterminer les circonstances qui ont conduit à la violation. Apparemment, la plate-forme cloud Alibaba utilisée par le département de police de Shanghai était si obsolète que même la définition d'un mot de passe (ouvre dans un nouvel onglet) pour la base de données n'était pas une option.
Ces conclusions seraient conformes à ce que les médias ont initialement rapporté, lorsque les chercheurs en cybersécurité ont pointé du doigt des partenaires tiers d'infrastructure cloud comme Alibaba, Huawei ou Tencent.
Base de données à vendre
Le WSJ a également déclaré que des représentants du géant chinois du cloud avaient été appelés pour rencontrer des enquêteurs, dont le vice-président de la société, Chen Xuesong. Les deux parties ne se sont pas encore parlées.
Des cybercriminels inconnus avaient tenté de vendre l'énorme base de données, qui contenait prétendument les noms des personnes, les numéros d'identification du gouvernement et les numéros de téléphone, sur le dark web. En outre, la base de données contenait des enregistrements de crimes signalés au service de police, et certaines des données concernaient même des mineurs.
Les criminels faisant la publicité de la base de données ont exigé 10 bitcoins, soit environ 200 000 dollars, en échange des données.
Ce type de données est très demandé par les cybercriminels car il leur permet de se livrer à toutes sortes d'activités frauduleuses, du vol d'identité au phishing en passant par la fraude au paiement, etc.
Après l'annonce du vol, Alibaba a désactivé tout accès à la base de données, a ajouté le message, notant que ses ingénieurs ont commencé à inspecter le code associé, mais n'ont pas été en mesure de dire de manière concluante comment la violation s'est produite.
Via : Wall Street Journal (Ouvre dans un nouvel onglet)
