Vol majeur de données sur un milliard de Chinois non confirmé

Les experts en cybersécurité ne peuvent toujours pas confirmer les affirmations d’une personne vendant ce qu’elle prétend être des bases de données d’informations sur un milliard de résidents chinois supposément volées au service de police de Shanghai.

Image : Getty

Selon l’Associated Press (AP), l’affirmation a récemment été faite dans un message sur le forum de piratage en ligne Breach Forums par une personne utilisant le pseudonyme « ChinaDan ». L’annonce offre près de 24 téraoctets de données pour 10 bitcoins, ce qui représente un peu moins de 200 000 dollars américains.

Mardi soir, au moment de rédiger ce texte, la police n’avait pas confirmé le vol.

Il y a eu confirmation que certaines données auraient été volées, mais sans mention de l’ampleur de la violation. L’AP a déclaré qu’un échantillon de données qu’elle a vu contenait les noms, les dates de naissance, les âges et les numéros de téléphone portable. Une personne y était identifiée comme étant née en 2020, avec son âge répertorié comme « 1 », ce qui, selon l’agence de presse, suggère que des informations sur les mineurs ont été incluses dans les données obtenues lors de la violation.

Le vendeur a publié ce qu’il dit être une partie des bases de données à vendre, avec 750 000 entrées, comme preuve du piratage.

Le service d’information Bleeping Computer cite une journaliste du Wall Street Journal affirmant qu’elle a contacté des dizaines de personnes qui auraient été nommées dans les bases de données à vendre, dont cinq ont confirmé que les données en question les concernaient.

De même, l’Agence France Presse (AFP) a déclaré qu’un échantillon des supposées données de confirmation qu’elle avait vues comprenait les noms, les numéros de téléphone portable, les numéros d’identification nationaux, les adresses, les anniversaires et les rapports de police des citoyens chinois. L’AFP et les experts en cybersécurité ont vérifié que certaines des données des citoyens de l’échantillon étaient authentiques.

Bien que les données autorisées à être vues par le vendeur soient probablement réelles, il est impossible de confirmer si elles proviennent de la police de Shanghai ou si elles ont été rassemblées à partir de violations antérieures. Le chiffre présumé d’un milliard de victimes ne peut pas non plus être confirmé.

L’AFP a cité un responsable d’une entreprise de cybersécurité comme étant sceptique quant à ce chiffre.

Le New York Post cite le Financial Times disant que les mots-clics largement utilisés tels que « fuite de données » et « fuite de dossiers d’un milliard de citoyens » ne sont plus accessibles sur le site de médias sociaux chinois Weibo.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Règlement de 200 M$ suite au vol de données chez Desjardins approuvé par le tribunal

Des entreprises canadiennes devront signaler les cyberattaques en vertu de la loi proposée

Le groupe de vol de données RedCurl est de retour

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Les employés québécois peu concernés par le vol de données au travail

Une nouvelle étude sur les cybermenaces sur le lieu...

Un ex dirigeant d’Uber condamné pour dissimulation d’une violation de données en 2016

L'ancien responsable de la sécurité des systèmes d’information (RSSI) d'Uber Technologies, Joe Sullivan, a été reconnu coupable par un jury d'avoir dissimulé une violation de données de 2016 à la Federal Trade Commission des États-Unis.

Des employés de Twilio victimes de textos prétendant provenir du service informatique

Des employés de Twilio sont tombés dans le piège d'une escroquerie par hameçonnage par SMS la semaine dernière, répondant à des messages prétendant provenir du service informatique de l'entreprise qui ont compromis leurs informations d'identification et conduit au vol de données client.

Règlement de 200 M$ suite au vol de données chez Desjardins approuvé par le tribunal

On apprenait la semaine dernière que la Cour supérieure a approuvé le règlement hors-cour de 200 millions de dollars intervenu dans le cadre d’un recours collectif suite au vol massif de données dont l’institution financière avait été victime en 2019.

Lapsus$ affirme avoir atteint Microsoft et Okta

Le groupe de vol de données et d'extorsion Lapsus$ affirme que ces deux entreprises de technologies de l’information sont ses plus récentes victimes.