L'immagine proviene da una illustrazione di pubblico dominio creata da Mohamed Hassan con PxHere

Un hacker anonimo “ChinaDan,” ha elencato un set di dati da 23,88 terabyte (TB) presumibilmente contenenti un milione di dati personali di cittadini cinesi messi in vendita per 10 bitcoin, approssimativamente 200,000 USD, il 30 giugno 2022. L'hacker ha postato l'avvertimento sul sito web di Breach Forums, una community online di hacker, dichiarando di essersi procurati i dati dal server della Polizia Nazionale di Shangai.

Mentre le autorità cinesi non hanno confermato nè negato la perdita di dati, alcuni giornalisti, tra cui  Rachel Cheung del VICE World News [en, come tutti i link successivi, salvo diversa indicazione] e Karen Hao del Wall Street Journal, hanno contattato delle persone elencate nel campione del set dei dati per verficarli. Coloro che hanno risposto alle chiamate hanno confermato che i dettagli contenuti nel set di dati erano corretti.

A hacker is selling an alleged 1 billion Chinese citizens’ information stolen from Shanghai police. @rachelliang5602 & I downloaded the sample the hacker provided and called dozens of people listed. Nine picked up & confirmed exactly what the data said. https://t.co/X0VhJaWjvb

— Karen Hao 郝珂灵 (@_KarenHao) July 4, 2022

Un hacker sta vendendo, presumibilmente, un miliardo di informazioni appartenenti ai cittadini cinesi, rubandoli dalla polizia di Shanghai. Io e @rachelliang5602, abbiamo scaricato il campione che l'hacker ha fornito e abbiamo chiamato dozzine di persone presenti nell'elenco. Nove hanno risposto e hanno confermato esattamente quello che i dati riportavano.

Secondo il Wall Street Journal, la mancanza di dati potrebbe essere ricondotta al server in cloud di Aliyun, un'azienda che opera nel cloud computing, che è una filiale di Alibaba Group. Per questo, attualmente, l'azienda è indagata.

ChinaDan ha afferamto che il set di datii contiene informazioni personali di un miliardo di residenti in Cina e diversi miliardi di registrazioni di crimini e casi di polizia tra cui: nomi, indirizzi, luoghi e date di nascita, numeri identificativi nazionali, numeri di telefono e altro.

Il rivenditore di dati ha anche rilasciato a un potenziale acquirente un campione contenente 750,000 elementi per convalidare i dati . Se 23.88 TB fossero veritieri, sarebbe la più grande perdita di dati della storia.

Secondo le tabelle dei dati postati sul Breach Forum, il set di dati proviene da 7 indici di dati e il campione da 750,000 elementi provengono da tre indici principali, i quali sono costituiti da 250,000 elementi di dati personali, 250,0000 registri d'indagine della polizia, e 250,000 registrazioni di dati ottenuti dalle piattaforme delle amministrazioni pubbliche e commerciali.

Quando la notizia si è diffusa sui social media, alcuni utenti di internet cinesi hanno cominciato a testare il campione rilasciato. Tuttavia, le loro discussioni e risultati sono stati censurati velocemente sui social media.

Indice dei contenuti del set di dati

Un'analisi cancellata da Zhihu, un sito web di domande e risposte della Cina continentale, ha la sua lista di contenuti provenienti dal campione di set di dati e si nota che i dati includono dati personali come: numero di carta di identità, nome, indirizzo, luogo di nascita, percorso formativo, stato civile, servizio militare, peso e altezza, occupazione, orientamento religioso e politico, casellario giudiziale (ad esempio alcuni tipi di reati), file fotografici come carta d'identità, permesso di soggiorno, patente e passaporto. Alcuni dati interessano addirittura i movimenti degli utenti: posti di blocco per l'immigrazione, check-in in hotel, accessi effettuati dagli internet cafè, centri e strutture di detenzione ecc.

I dati riguardanti le indagini dei crimini includono informazioni sui luoghi del crimine, tempo, tipo di reato, stato d'indagine, dettagli del caso, dati personali del giornalista come numero di carta d'identità, nome, numero di cellulare e informazioni sul gestore del caso (stazione di polizia e numero identificativo utilizzato sul posto di lavoro).

Le informazioni provenienti dalle piattaforme commerciali includono gli ordini di acquisto degli utenti, gli ordini a domicilio, pagamenti, cibo, biglietti di eventi e per viaggiare. Quelle informazioni provenienti da banche dati pubbliche, invece, includono le tecnologie forensi, indagini economiche, fascicoli sull'immigrazione, informazioni sui luoghi di intrattenimento, direttive sul controllo del traffico, dettagli degli individui classificati in sette grandi gruppi (7類重點人員) (che di solito si riferiscono a potenziali terroristi, attivisti, ciminali, spacciatori, latitanti, individui con disturbi mentali e firmatari). Sono inclusi anche dati a riguardo delle indagini virtuali, banchi dei pegni, centri di detenzione e relative strutture, centri di trattamento per dipendenze, fascicoli di proprietà di immobili, registrazioni di residenza e registrazione delle famiglie, popolazione media, popolazione attuale, archivi medici, fascicoli relativi all'utilizzo del carburante e molto altro.

Il contenuto della lista di Zhihu è coerente con i risultati ottenuti da altri come @hackepoch, @Kingstarry4, @wenjun7011, e @williamlong, un importante blogger di tecnologia, tra gli altri.

Un'ulteriore analisi dei dati: popolazione e controllo della stabilità

Alcuni utenti hanno già iniziato a condurre le prime ricerche servendosi del campione e sono giunti a conclusioni riguardanti la popolazione demografica. Yi Fuxian, un demografico dell’ Università del Wisconsin-Madison è rimasto sconvolto dai  250,000 files di dati demografici e di come questi siano provenienti dalla maggior parte delle contee della Cina, includendo anche quei gruppi numericamente inferiori alle 10 000 persone. Scavando nella distribuzione dell'età del campione di dati della popolazione, così come anche analizzando le statistiche a riguardo della somministrazione del Vaccino contro il Bacillus Calmette-Guerin (contro la tubercolosi), che è obbligatorio per le nuove generazioni, Yi ha concluso che la crisi della popolazione in Cina è stata sottostimata in quanto ci sono addirittura ancora meno bambini rispetto al censimento ufficiale del 2020.

Il campioni di dati riflette anche la portata del controllo della stabilità in Cina. Il blogger tecnologico William Long, per esempio, ha scoperto che tra i 250 000 dati contenuti nel campione, 166 individui sono inclusi nelle sette liste di gruppi di riferimento: implica che più di 660 000 individui potrebbero essere stati elencati come obiettivi di controllo della stabilità in Cina. Il blogger ha inoltre notato che tra i 250 000 casi di crimini, ce ne sono due correlati a reati legati al linguaggio usato su Twitter. Se la portata di questa raccolta di dati ammonta a 1 miliardo, circa 8000 potrebbero essere casi di crimini legati a Twitter.

Implicazioni: sicurezza individuale e crisi politica

La condivisione di dati privati è stato un serio problema in Cina, soprattutto in seguito alla vendita di questi dati personali attraverso chat segrete. Per esempio, nel 2020, le autorità provenienti dalla città di Zhuhau hanno arrestato un uomo che era in possesso di 120 gigabytes di dati che rappresentano un miliardo di informazioni personali dei cittadini cinesi. Nel 2021, le autorità della polizia della provincia di Jiangsu si sono imbattuti in una chat di 200,000 membri, i quali ne stavano usufruendo come se fosse un supermercato, per cercare informazioni specifiche di alcuni individui. L'amministratore della chat era in possesso di oltre 1 miliardo di informazioni personali.

Tuttavia, se analizzata in scala, questa attuale violazione dei dati, può essere paragonata a una bomba nucleare rispetto alle precedenti mancanze di dati (che ora vengono considerate su un micro-livello).

I cittadini che navigano su internet stanno già facendo i conti con l'impatto di tutto questo e ciò che ne consegue. Alcuni di loro su Weibo sono preoccupati per l'ondata di truffe e ricatti che potrebbe arrivare in quanto i dati contengono le informazioni personali e i fascicoli dei crimini.  Lo stesso vale per dissidenti cinesi d'oltremare su Twitter, molti sono convinti che i dati avrebbero compromesso la legittimità del Partito Comunista Cinese, in quanto un ulteriore raccolta di dati potrebbe rivelare il fallimento della politica del partito. Uno dei segnali più evidenti proviene dall'importante programmatore di software cinese Issac Mao:

…the data breach is a fresh new case of a dictator’s dilemma: the more you concentrate, the more you lose control.

…la diffusione dei dati è un nuovissimo caso di dilemma del dittatore: più ti concentri, più perdi il controllo.