Зображення отримано з ілюстрації, створеної Мохамедом Хасаном із загальнодоступного домену PxHere

30 червня 2022 року анонімний хакер «ChinaDan» виставив набір даних розміром 23,88 терабайта (ТБ), який нібито містить один мільярд особистих даних жителів Китаю, на продаж за 10 біткойнів, за приблизно 200 000 доларів США. Хакер розмістив оголошення на веб-сайті Breach Forums; онлайн-спільнота хакерів стверджує, що вони отримали дані зі сервера Шанхайської національної поліції.

Хоча влада Китаю не підтвердила і не спростувала витік даних, деякі репортери, зокрема Рейчел Чеунг з VICE World News і Карен Хао з Wall Street Journal, звернулися до осіб зі списку набору даних, щоб перевірити інформацію. Усі ті, хто відповіли на телефонні дзвінки підтвердили, що дані правильні.

A hacker is selling an alleged 1 billion Chinese citizens’ information stolen from Shanghai police. @rachelliang5602 & I downloaded the sample the hacker provided and called dozens of people listed. Nine picked up & confirmed exactly what the data said. https://t.co/X0VhJaWjvb

— Karen Hao 郝珂灵 (@_KarenHao) July 4, 2022

Хакер продає нібито 1 мільярд даних громадян Китаю, викрадених у поліції Шанхаю. @rachelliang5602 та я завантажили зразок, наданий хакером, і зателефонували десяткам людей зі списку. Дев'ять відповіли та підтвердили саме те, про що йдеться у цих даних. https://t.co/X0VhJaWjvb

— Карен Хао 郝珂灵 (@_KarenHao) 4 липня 2022 р.

За інформацією  «Wall Street Journal», витік даних міг статися із хмарного сервера Aliyun, компанії хмарних обчислень, дочірньої компанії Alibaba Group. Зараз компанія проводить розслідування інциденту.

ChinaDan стверджував, що набір даних містить один мільярд особистих даних жителів Китаю та кілька мільярдів кримінальних і поліцейських записів, імен, адрес, місць та дат народження, національних ідентифікаційних номерів і номерів мобільних телефонів включно.

Продавець даних також випустив зразок із 750 000 елементів даних, щоб потенційні покупці могли перевірити дані. Якщо набір даних у 23,88 ТБ справжній, це буде найбільший витік даних в історії.

Згідно з таблицями, опублікованими на форумі Breach Forum, набір даних походить із 7 індексів, а 750 000 елементів вибіркових даних — з трьох основних індексів, які складаються з 250 000 елементів індивідуальних даних, 250 000 записів поліцейських розслідувань і 250 000 записів торгівлі і платформ державного управління.

Коли новина поширилася у соціальних мережах, деякі китайські користувачі Інтернету почали тестувати цей зразок. Однак, їхні обговорення та висновки швидко були цензуровані у соціальних мережах.

Контент-індекс набору даних

Один видалений аналіз із Zhihu, веб-сайту запитань і відповідей у ​​материковому Китаї, містить список вмісту із зразка набору даних і виявив, що до файлів персональних даних входять: номер ідентифікаційної картки особи, ім’я, адреса, місце народження, рівень освіти, сімейний стан, військова служба, зріст і вага, професія, релігійні переконання, політична орієнтація, судимість (наприклад, види злочинів) і файли фотографій, такі як посвідчення особи, карта резидента, водійські права та паспорт. Деякі дані навіть містили інформацію про переміщення користувачів, як-от імміграційні контрольно-пропускні пункти, реєстрації в готелях, входи в інтернет-кафе, центри ув’язнення, місця ув’язнення тощо.

Файл даних кримінального розслідування містить інформацію про місце злочину, час, вид злочину, статус розслідування, деталі справи, особисті дані особи, яка веде справу, наприклад номер посвідчення особи, ім’я та номер мобільного телефону, а також інформацію про особу, яка займається справою (поліцейська дільниця та номер документа).

До даних, отриманих з комерційних платформ, входили замовлення користувачами товарів, замовлення доставки, платежі, замовлення їжі, квитки та записи про подорожі. Дані, отримані з платформ державного управління, включали в себе технологічну криміналістику, записи економічних розслідувань, імміграційні записи, інформацію про розважальні заклади, директиви щодо контролю дорожнього руху та деталі осіб, класифікованих як сім цільових груп (7類重點人員) (яких, зазвичай, зараховують до потенційних терористів, активістів, злочинців, торговців наркотиками, втікачів, осіб з психічними розладами та заявників). Туди ж входила інформація про кіберрозслідування, ломбарди, центри та установи для ув’язнення, центри лікування залежностей, записи про власників нерухомості, записи про реєстрацію мешканців, записи про реєстрацію домогосподарств, звичайне населення, фактичне населення, медичні записи, дані про споживання пального тощо.

Контент-список Zhihu узгоджується з висновками інших, зокрема @hackepoch, @Kingstarry4, @wenjun7011 і @williamlong – відомий технічний блогер.

Подальший погляд на дані: популяція та контроль стабільності

Деякі користувачі вже почали проводити початкове дослідження вибірки, щоб зробити висновки щодо демографічних показників населення. І Фусянь, демограф з Університету Вісконсін-Медісон, був приголомшений 250 000 одиницями демографічних даних, які надходили майже з усіх округів Китаю, включно з тими, де проживає менше 10 000 осіб. Вивчивши віковий розподіл вибірки даних про населення, а також статистичні дані щодо використання вакцини Bacillus Calmette-Guerin (проти туберкульозу), яка є обов’язковою для новонароджених, І дійшов висновку, що демографічна криза в Китаї була недооцінена, так як у Китаї народжується навіть менше немовлят, ніж передбачає офіційний перепис 2020 року.

Вибірка набору даних також відображає масштаб контролю стабільності в Китаї. Техноблогер Вільям Лонг, наприклад, виявив, що серед вибіркових даних із 250 000 осіб, 166 осіб внесено до списку семи цільових груп, що означає, що понад 660 000 осіб могли бути зазначені, як цілі контролю стабільності в Китаї. Блогер також зазначив, що серед 250 тисяч випадків злочинів, два пов’язані зі злочинами, спрямованими на мовлення у Twitter. Якщо обсяг даних становить 1 мільярд, може бути до 8000 випадків злочинів, пов’язаних із Twitter.

Наслідки: індивідуальна безпека та політична криза

Порушення конфіденційних даних було серйозною проблемою в Китаї раніше, оскільки особисті дані раніше продавалися в деяких секретних чатах. Наприклад, у 2020 році влада міста Чжухай заарештувала чоловіка, який мав 120 гігабайт файлів даних, які складалися з 1 мільярда особистих даних громадян. А у 2021 році поліцейські органи провінції Цзянсу розгромили чат з 200 000 учасників, який слугував ринком для викопування біографій конкретних людей. Адміністратор чату також володів понад 1 мільярдом особистих даних.

Однак, в разі підтвердження, цей витік даних, з точки зору масштабу, буде схожий на ядерну бомбу порівняно з попередніми витоками.

Громадяни в Інтернеті вже відчувають його вплив. Деякі користувачі Weibo стурбовані сплеском шахрайства та шантажу, оскільки дані містять особисту інформацію та кримінальне минуле. Стосовно закордонних китайських дисидентів у Twitter, багато хто вважав, що ці дані підірвуть легітимність Комуністичної партії Китаю, оскільки подальший аналіз даних може виявити провал політики партії. Одне з найбільш проникливих зауважень походить від відомого китайського архітектора програмного забезпечення Ісака Мао:

…витік даних — це новий випадок дилеми диктатора: чим більше ви концентруєтесь, тим більше втрачаєте контроль.