Hóa ra dữ liệu của gần 1 tỷ người Trung Quốc bị lộ lỗ hổng từ hơn 1 năm nay, hacker còn đòi tiền chuộc sau khi xóa hết thông tin

NGUYỄN HẢI20:02 20/08/2022

Sau khi xóa sạch cơ sở dữ liệu này, hacker còn để lại lời nhắn đòi tiền chuộc gần 200.000 USD cho sở cảnh sát Thượng Hải.

Vài ngày trước, vụ dữ liệu lớn nhất trong lịch sử an ninh mạng Trung Quốc lộ diện khi một bài đăng rao bán dữ liệu cá nhân của gần 1 tỷ công dân Trung Quốc xuất hiện trên diễn đàn Breach Forums. Khối dữ liệu này được cho rò rỉ từ sở cảnh sát Thượng Hải chứa hàng loạt thông tin nhạy cảm – bao gồm tên tuổi, mã số công dân, số điện thoại và các báo cáo sự cố của các công dân này.

Nhưng tại sao các dữ liệu này có thể lộ ra ngoài với quy mô lớn như vậy khi đáng nhẽ chúng phải được bảo vệ cẩn thận? Nhưng theo các chuyên gia bảo mật, hóa ra một lỗ hổng rất dễ thấy đã mở ra cánh cửa cho hacker thâm nhập và lấy đi toàn bộ khối dữ liệu khổng lồ này.

Trên thực tế, khối dữ liệu này của sở cảnh sát Thượng Hải vẫn được lưu trữ bảo mật, tuy nhiên, lỗ hổng lại đến từ bảng điều khiển – nơi giúp quản lý và truy cập khối dữ liệu này – lại được thiết lập trên một địa chỉ web công khai và không có mật khẩu bảo vệ. Do vậy, bất kỳ ai có chút kiến thức cơ bản về kỹ thuật cũng có thể truy cập và sao chép toàn bộ khối dữ liệu này mà không ai biết.

Vinny Troia, nhà sáng lập hãng Shadowbyte, cho biết: ” Việc họ để lộ khối dữ liệu này thật điên rồ.” Shadowbyte là một hãng chuyên về dark web, khi thường xuyên quét các khối dữ liệu không được bảo mật trên web và đã tìm thấy lỗ hổng trong cơ sở dữ liệu của cảnh sát Thượng Hải vào tháng Một vừa qua.

Thậm chí trạng thái mở của khối dữ liệu này còn được duy trì từ hơn một năm nay – từ tháng 4 năm 2021 cho đến giữa tháng 6 vừa qua – khi dữ liệu đột nhiên bị xóa sạch và chỉ còn lại một lời nhắn đòi tiền chuộc dành cho sở cảnh sát Thượng Hải.

Theo Bob Diachenko, người sở hữu hãng bảo mật SecurityDiscovery, nội dung của lời nhắn đòi tiền chuộc này cho biết: “your_data_is_safe. Contact_for_your_data … recovery10btc” (Dữ liệu của các ông an toàn. Liên hệ để lấy lại dữ liệu 10 BTC). Nghĩa là dữ liệu có thể được trả lại với giá 10 BTC, tương đương 200.000 USD. Hãng SecurityDiscovery cũng phát hiện ra lỗ hổng này của khối dữ liệu trên cũng như chụp lại được lời nhắn đòi tiền chuộc của hacker.

Số tiền chuộc này tương đương với mức giá trong bài đăng rao bán khối dữ liệu được cho đang chứa thông tin của gần 1 tỷ công dân Trung Quốc trên diễn đàn hacker Breach Forums vài ngày trước. Sự trùng khớp giữa tính chất của khối dữ liệu này và mức giá rõ ràng không phải là trùng hợp.

Video đang HOT

Hiện chính quyền thành phố Thượng Hải cũng như Cơ quan Quản lý không gian mạng của Trung Quốc đều không đáp lại các yêu cầu bình luận về sự việc trên.

Theo các chuyên gia bảo mật, bảng điều khiển hoạt động giống như một cánh cửa để vào cơ sở dữ liệu – nhưng ở trong trường hợp này, nó đã không được đóng lại ngay cả sau khi toàn bộ dữ liệu trong đó bị mất – chỉ đến khi vụ việc trở nên ầm ĩ trên không gian mạng, nó mới được đóng lại.

Cả ông Troia và Diachenko đều cho biết các lỗ hổng như vậy khá phổ biến, nhưng vẫn choáng váng về kích thước của khối dữ liệu bị lộ này.

Nó bao gồm hơn 23 TB với dữ liệu của hàng tỷ người. Trong đó chứa một file có tên “person_address_label_info_master” – với tên người, ngày sinh, địa chỉ, mã số công dân và ảnh chụp công dân – dài gần 970 triệu hàng. Nếu giả sử không có mục nào trùng lặp trong số này, file đó sẽ chứa thông tin chi tiết của gần 1 tỷ người trong đó.

Không chỉ vậy, dữ liệu này còn đánh dấu những cá nhân có tiền sử phạm tội, bao gồm cả các lần vi phạm giao thông, những người bị coi là kẻ đào tẩu, những người bị cáo buộc phạm tội hiếp dâm hoặc giết người. Một số người trong đó còn bị gắn nhãn “người cần được giám sát chặt chẽ” – hay những người bị chính phủ Trung Quốc xem là mối đe dọa đến trật tự xã hội.

Các thông tin này càng cho thấy mức độ nhạy cảm của khối dữ liệu này khi bị lộ ra ngoài, đặc biệt với bài đăng rao bán trên một diễn đàn mở, nhiều khả năng khối dữ liệu chứa thông tin của hàng tỷ công dân Trung Quốc còn đang bị phát tán ra bên ngoài biên giới nước này.

Dữ liệu một tỷ người Trung Quốc bị đánh cắp thế nào

Theo các chuyên gia, phần mềm quản lý dữ liệu của cảnh sát Trung Quốc không được bảo mật đủ mạnh. Thông tin hàng tỷ người có thể được tiếp cận dễ dàng.

Ngày 3/7, một tài khoản có tên ChinaDan rao bán dữ liệu của một tỷ người dùng Trung Quốc trên diễn đàn tin tặc Br***Forum. Theo người đăng bài, tập dữ liệu này được đánh cắp từ Cảnh sát Quốc gia Thượng Hải (SHGA). Các chuyên gia trong mảng bảo mật gọi đây là vụ vi phạm an ninh mạng lớn nhất lịch sử Trung Quốc.

Theo Wall Street Journal, nguyên nhân của việc lộ lọt dữ liệu lớn được cho là bởi sự tắc trách trong quản lý. Phần mềm kiểm soát không có lớp bảo mật đủ mạnh. Một người có kỹ năng công nghệ thông tin ở mức tương đối có thể tiếp cận với dữ liệu của hàng tỷ công dân.

Lý do khiến một tỷ người Trung Quốc bị lộ thông tin

Các chuyên gia an ninh mạng Trung Quốc đã tìm ra một lỗ hổng bảo mật trên hệ thống của Cảnh sát Thượng Hải đầu năm nay. Đây được cho là nguyên nhân dẫn đến vụ hack dữ liệu một tỷ người ở nước này.

Theo đó, hồ sơ nhân khẩu của Cảnh sát Thượng Hải được lưu trữ an toàn trên đám mây. Tuy nhiên, phần mềm điều khiển, quản lý số dữ liệu này được thiết lập ngay trên một website mở và không có mật khẩu truy cập. Điều này khiến bất kỳ ai nắm kỹ thuật công nghệ thông tin ở mức tương đối cũng có thể xâm nhập, sao chép và lấy đi lượng lớn dữ liệu.

Dữ liệu một tỷ người Trung Quốc được rao bán với giá 200.000 USD.

Trong khi đó, nhiều người suy đoán vụ lộ lọt có thể bắt nguồn từ bài đăng trên blog chuyên về kỹ thuật vào năm 2020, vô tình làm lộ quyền truy cập máy chủ Cảnh sát Thượng Hải. Ông Changpeng Zhao, người sáng lập sàn giao dịch tiền số Binance cũng ủng hộ luận điểm này.

Tuy nhiên, nhiều chuyên gia cho rằng vốn cơ sở dữ liệu không yêu cầu xác minh quyền truy cập. Họ khẳng định lỗi nằm ở bước thiết lập phần mềm điều khiển.

"Việc để lộ lượng thông tin lớn như vậy là thật điên rồ", ông Vinny Troia, người sáng lập công ty điều tra darkweb Shadowbyte cho biết. Shadobyte là đơn vị chuyên truy quét, tìm kiếm dữ liệu bất ổn. Họ đã tìm thấy lỗ hổng quản lý cơ sở dữ liệu của Thượng Hải hồi tháng 1.

Trong khi đó, theo chuyên gia an ninh mạng Bob Biachenko, dữ liệu một tỷ người Trung Quốc bị lộ từ 4/2021. Đột nhiên đến gần đây chúng bị xóa sạch rồi được rao bán trên diễn đàn hacker. Ngoài ra, kẻ tấn công còn để lại một thông báo đòi tiền chuộc cho Cảnh sát Thượng Hải.

"Your_data_is_safe (Số dữ liệu này vẫn an toàn)", thông báo đòi tiền chuộc của tin tặc được ông Diachenko cung cấp. Ngoài ra, kẻ tấn công còn yêu cầu tiền chuộc là 10 Bitcoin, tương đương 200.000 USD. Khoản tiền trên trùng khớp với mức giá rao bán từ tài khoản ChinaDan ở diễn đàn Br***Forum.

Không nhận được tiền chuộc, hacker rao bán dữ liệu

Chính quyền Thượng Hải, Cục Quản lý Không gian mạng Trung Quốc không đưa ra phản hồi về sự việc này. Trong khi đó, các chuyên gia đã tổng hợp bằng chứng cho thấy số dữ liệu của một tỷ người đã thật sự rơi vào tay tin tặc.

Họ cho biết phần mềm điều khiển như một cánh cửa để vào kho dữ liệu lớn, nhưng nó không được đóng lại. Mãi đến khi phần thông tin biến mất, nó mới thu hút sự quan tâm của công chúng. Theo ông Troia, chính người thực hiện hành vi đánh cắp đang rao báo số dữ liệu công dân nêu trên.

Theo các chuyên gia, lỗi cơ bản trong quản lý đã khiến dữ liệu hàng tỷ người Trung Quốc bị lộ.

"Điều phổ biến trong giới hacker là họ sẽ rao bán dữ liệu trực tuyến sau khi không thể đòi được tiền chuộc", ông Troia nói với WSJ.

Ngoài ra, các chuyên gia cũng xác nhận phần dữ liệu của người bán ChinaDan là có thật. Phần thông tin nặng 23 terabyte, gồm tên, sinh nhật, địa chỉ, ID chính phủ và ảnh của 970 triệu người. Ngoài ra, vì là dữ liệu quản lý của cảnh sát, nó gồm trường thông tin về lịch sử phạm tội, vi phạm giao thông, bỏ trốn...

Vụ lộ lọt dữ liệu thể hiện sự mâu thuẫn trong cách tiếp cận bảo mật của Trung Quốc. Chính quyền nước này ra dấu rằng bảo vệ dữ liệu và quyền riêng tư là ưu tiên hàng đầu. họ cho ra đời loạt quy định nhằm hạn chế việc thu thập dữ liệu nhạy cảm của người dùng cho mục đích thương mại. Trong khi đó, nhà nước giữ một lượng lớn thông tin người dân để giám sát toàn quốc.

"Không biết ai phải là người chịu trách nhiệm", Kendra Chaefer, người đứng đầu bộ phận nghiên cứu chính sách công nghệ tại Trivium China đặt vấn đề trên Twitter. Bà cho biết thông thường, Bộ Công An sẽ nhận nhiệm vụ điều tra tội phạm mạng.

Meta tiếp tục cuộc chiến chống hành vi thu thập dữ liệu Meta đã khởi động hai vụ kiện riêng biệt nhằm vào một công ty có tên Octopus và một cá nhân tên Ekrem Ateş liên quan đến các hoạt động thu thập dữ liệu. Theo Engadget, Octopus là công ty công nghệ đa quốc gia của Trung Quốc cung cấp dịch vụ cho thuê thu thập dữ liệu cho các cá nhân và...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Lễ đưa tang Kim Sae Ron: Mẹ ruột đi không vững trong giờ phút cuối cùng, dàn sao nghẹn ngào tiễn biệt01:06

Nam Thư bị chỉ trích vì mặc trang phục phản cảm, hớ hênh ngay trên thảm đỏ00:21

B Ray muốn tìm "ghệ mới" nhưng không quên "bóc phốt" người yêu cũ: Nói nhiều, ghen tuông, bào tiền?03:46

Lý Nhã Kỳ sau khi lộ bức ảnh xồ xề gây sốc: "Có thế lực nào đứng sau những trò ác ý này không?"00:33

Đòn giáng của ông Trump vào Ukraine trước ngưỡng cửa đàm phán với Nga09:07

HOT: Đạt G - Cindy Lư hóa cô dâu chú rể trên lễ đường, khóa môi ngọt ngào trước đông đảo khách mời01:26

Khả Như vào vai quỷ dữ, ăn thịt sống trong phim kinh dị02:29

Thách thức nhà vô địch thế giới, võ sĩ Trung Quốc bị đánh sưng mặt02:18

Sau vụ ồn ào Maybach, Lọ Lem flex luôn 16 tuổi kiếm hơn 1 tỷ, tự trả toàn bộ học phí ĐH RMIT02:06

Ngoại hình gây sốc của G-Dragon00:19

Thêm tranh cãi outfit cũng không cứu nổi MV mới nhất của Lisa04:05

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn