Vụ hack dữ liệu 1 tỷ người dân Trung Quốc: Những bí mật động trời và dấu hỏi an ninh

Các nhà nghiên cứu bảo mật cho biết, một cơ sở dữ liệu của cảnh sát Thượng Hải với một kho dữ liệu cá nhân khổng lồ bị hacker hoặc nhóm chiếm giữ đã bị bỏ lại trên mạng, không được bảo mật trong nhiều tháng, các nhà nghiên cứu bảo mật cho biết, đây cũng có lẽ là vụ vi phạm lớn nhất được biết đến đối với hệ thống máy tính của chính phủ Trung Quốc.

Vụ rò rỉ này được đưa ra ánh sáng sau khi một người dùng ẩn danh đăng trên một diễn đàn trực tuyến đề nghị bán thông tin cá nhân của khoảng một tỷ công dân Trung Quốc, cho thấy những rủi ro về quyền riêng tư của bộ máy giám sát và an ninh rộng lớn của chính phủ Trung Quốc.

Các nhà chức trách ở Trung Quốc thu thập một lượng lớn dữ liệu về công dân bằng cách theo dõi chuyển động của họ, tìm kiếm các bài đăng trên mạng xã hội và ghi lại dấu vết của họ và các dấu hiệu sinh học khác. Tuy nhiên, ngay cả khi nhà nước tích lũy được lượng dữ liệu cá nhân lớn hơn bao giờ hết, nó đôi khi vẫn lỏng lẻo trong việc thiết lập các biện pháp bảo vệ, chẳng hạn như bằng cách đặt nó trên các máy chủ không được bảo vệ.

Công dân Trung Quốc trong những năm gần đây bày tỏ nhu cầu ngày càng tăng đối với quyền riêng tư cá nhân và bảo vệ dữ liệu từ các công ty. Sự rò rỉ này, nếu nó được biết đến rộng rãi ở Trung Quốc, rất có thể sẽ thúc đẩy sự phản đối của công chúng đối với việc thu thập dữ liệu cá nhân của chính phủ. Nhưng tin tức về vụ rò rỉ đã nhanh chóng bị kiểm duyệt và xóa khỏi các nền tảng mạng xã hội và internet Trung Quốc, một dấu hiệu cho thấy chính phủ nhận ra bản chất bùng nổ của vụ vi phạm rõ ràng. Kể từ khi xảy ra vụ việt, các thẻ bắt đầu bằng # như "rò rỉ dữ liệu Thượng Hải", "rò rỉ dữ liệu của một tỷ công dân" và "rò rỉ dữ liệu" vẫn bị chặn trên Sina Weibo, một dịch vụ blog phổ biến của Trung Quốc.

Paul Triolo, phó chủ tịch cấp cao phụ trách Trung Quốc tại Albright Stonebridge Group, một công ty chiến lược, cho biết: "Nó để lại một con mắt đen lớn đối với thế giới an ninh công cộng Trung Quốc và nói chung là chính phủ Trung Quốc. Không có gì ngạc nhiên khi họ đã chuyển sang chế độ kiểm duyệt hoàn toàn do vấn đề này nhạy cảm với công chúng như thế nào".

Mặc dù rò rỉ dữ liệu lớn không phải là hiếm, nhưng cơ sở dữ liệu của cảnh sát Thượng Hải nổi bật cả về quy mô và tính chất nhạy cảm cao của một số thông tin được đưa vào, các nhà nghiên cứu bảo mật cho biết.

Hai nhà nghiên cứu an ninh mạng cho biết họ đã xác minh riêng biệt các tuyên bố của người dùng ẩn danh rằng cơ sở dữ liệu bao gồm hơn 23 terabyte dữ liệu bao gồm hàng tỷ cá nhân.

Tuy nhiên, Vinny Troia, người sáng lập Shadowbyte, một công ty tình báo về mối đe dọa mạng, cho biết lần đầu tiên anh ta tình cờ tìm thấy cơ sở dữ liệu này là vài tháng trước. Dữ liệu từ Leak IX, một nền tảng trực tuyến truy cập internet để tìm cơ sở dữ liệu bị lộ, cho thấy máy chủ dữ liệu này có thể truy cập sớm nhất là vào tháng 4 năm 2021. Tiết lộ rằng cơ sở dữ liệu Thượng Hải từ lâu đã không được bảo mật như đã được Đài CNN đưa tin trước đó.

New York Times đã xác nhận các phần của mẫu gồm 750.000 bản ghi mà người dùng ẩn danh, có tên ChinaDan, đã phát hành để chứng minh tính xác thực của dữ liệu. Ngoài địa chỉ và số ID, cơ sở dữ liệu bao gồm thông tin về "những người chủ chốt" được cảnh sát xác định là cần giám sát cao độ, cũng như các báo cáo của cảnh sát. 

Trong một trường hợp, một người đàn ông đã bị báo cảnh sát vì đã cưỡng hiếp cháu gái 3 tuổi của mình. Trong một vụ khác, một người bị điều tra vì kêu oan trên Quảng trường Thiên An Môn ở Bắc Kinh. Mẫu cũng bao gồm tên và số hộ chiếu của những công dân Mỹ đã vi phạm các điều khoản về thị thực của họ tại Trung Quốc. Chín người được The Times liên lạc qua điện thoại đã xác nhận tên và thông tin chi tiết của họ. Không ai trong số những người được liên hệ cho biết trước đây họ đã nghe nói về vụ rò rỉ dữ liệu kiểu thế này.

Một số dường như không bối rối về việc thông tin cá nhân của họ bị lộ. Một người đàn ông, có hồ sơ khiếu nại với cảnh sát rằng con gái anh ta đã bị cưỡng hiếp bởi người quản lý công việc của cô ấy nằm trong số dữ liệu bị rò rỉ, đã xác nhận tính chính xác của hồ sơ dữ liệu này khi được liên lạc qua điện thoại. Nhưng anh ấy nói rằng tình tiết đó là trong quá khứ và không quan trọng nếu thông tin được công khai rò rỉ.

Những người khác bày tỏ sự thất vọng và cam chịu. Nhiều người Trung Quốc đã quen với việc giám sát, kiểm duyệt và các cuộc gọi tiếp thị qua điện thoại thường xuyên, chấp nhận rằng những cuộc xâm nhập như vậy là cái giá phải trả của sự tiện lợi và an toàn. Tuy nhiên, họ cho biết, các biện pháp bảo vệ là cần thiết.

May Peng, một nhân viên bán hàng ở Thượng Hải, người bán hàng ở Thượng Hải cho biết: "Thật đáng báo động vì đây là hồ sơ của những người bình thường. Cô xác nhận rằng như dữ liệu cho thấy, cô đã trình báo cảnh sát vào năm 2017 khi chiếc xe tay ga điện của cô bị đánh cắp. "Chúng nên được bảo vệ tốt hơn".

Chính phủ đã giữ im lặng về vấn đề này. Cục An ninh mạng Trung Quốc đã không trả lời yêu cầu bình luận qua fax. Cơ quan an ninh công cộng Thượng Hải từ chối trả lời các câu hỏi về độ bảo mật cơ sở dữ liệu.

Việc chính phủ từ chối thừa nhận vụ rò rỉ trái ngược với thông lệ ở các quốc gia khác, theo đó các công ty và cơ quan chính phủ thường có nghĩa vụ cảnh báo cho người dùng bị ảnh hưởng nếu thông tin của họ bị rò rỉ.

Ông Troia và một nhà nghiên cứu khác, Bob Diachenko, chủ sở hữu của SecurityDiscovery.com, một công ty tư vấn an ninh mạng, cho biết dữ liệu ở Thượng Hải đã được lưu trữ an toàn trên một mạng kín cho đến khi ai đó thiết lập một cổng về cơ bản đục một lỗ thông qua tường lửa. Họ nói rằng việc tạo các cổng như vậy là thông lệ giữa các nhà phát triển như một cách để dễ dàng truy cập vào cơ sở dữ liệu, nhưng các cổng như vậy phải được bảo vệ bằng mật khẩu.

Cổng vào cơ sở dữ liệu Thượng Hải không có mật khẩu

Ông Troia nói rằng lần đầu tiên ông bắt gặp kho hồ sơ không an toàn vào tháng 12 hoặc tháng 1, và nó nổi bật với kích thước dữ liệu khổng lồ. Ông ấy nói rằng ông ấy đã tải xuống và xem xét một số mẫu nhỏ của các tệp vào thời điểm đó.

Ông Diachenko cho biết nhóm của ông đã xác định rằng cơ sở dữ liệu có thể truy cập được sớm nhất từ tháng 4 năm nay cho đến giữa tháng 6 khi ai đó sao chép và phá hủy dữ liệu và để lại thông báo tiền chuộc yêu cầu 10 Bitcoin, giá trị hiện tại khoảng 200.000 USD, để khôi phục thông tin. Các nhà nghiên cứu bảo mật cho biết các kẻ xấu thường chiếm đoạt cơ sở dữ liệu bị lộ và cố gắng tống tiền chủ sở hữu dữ liệu với yêu cầu đòi tiền chuộc.

Các nhà nghiên cứu bảo mật cho biết lượng lớn thông tin cá nhân trong cơ sở dữ liệu của Thượng Hải có thể khiến những cá nhân bị lộ dữ liệu có nguy cơ bị tống tiền hoặc lừa đảo. Ông Diachenko nói: "Hồ sơ của bạn càng đầy đủ về một người thì càng nguy hiểm. "Khả năng là vô tận."

Vụ vi phạm dữ liệu hàng loạt ở Trung Quốc đặt ra câu hỏi xung quanh trách nhiệm của chính phủ trong việc bảo mật dữ liệu

Zeyi Yang, một phóng viên Trung Quốc của MIT Technology Review, đã xem xét một số dữ liệu và nói chuyện từ New York với người dẫn chương trình Marco Werman của The World về tình hình.

Marco Werman: Chúng ta biết gì cho đến nay về vụ rò rỉ dữ liệu kỹ thuật số này? Những gì có trong đó?

Zeyi Yang: Ở đây, hacker đã phát hành một bộ dữ liệu mẫu. Và trong số các tập dữ liệu đó có địa chỉ người dân, hồ sơ tội phạm, hồ sơ thẻ cảnh sát. Đây là rất nhiều thông tin mà chính phủ Trung Quốc mới có được từ bạn. Chúng tôi biết rằng rất nhiều công ty ngoài kia đang thu thập thông tin của chúng tôi. Ở Trung Quốc cũng vậy. Rất nhiều công ty công nghệ, công ty tiêu dùng, họ đang thu thập thông tin. Nhưng cũng có những thứ mà chỉ chính phủ Trung Quốc hoặc cảnh sát mới có. Giống như thẻ cảnh sát của bạn, số nhận dạng duy nhất của bạn, tương tự như số an sinh xã hội mà chúng tôi có ở đây.

Làm thế nào vụ vi phạm này là nghiêm trọng?

Chà, nó rất lớn. Trước hết, Trung Quốc có khoảng 1,4 Tỷ dân. Vì vậy, điều này bao phủ hơn một nửa dân số Trung Quốc, là rất nhiều. Ngoài ra, theo thông tin mà tôi có ngay bây giờ, giống như mẫu dữ liệu mà hacker đã phát hành, thông tin này thực sự chính xác hoàn toàn. Mọi người đều có thể xác minh các con số bằng tên của họ, bằng địa chỉ của họ. Và vì vậy, nếu toàn bộ dữ liệu này là hoàn toàn xác thực, thì đây có thể sẽ là cuộc khủng hoảng nghiêm trọng nhất của vụ phạm vi dữ liệu trong lịch sử.

Vì vậy, sẽ có nghĩa là gì nếu dữ liệu này được một người mua lại với giá 200.000 đô la? Họ thực sự sẽ làm gì với nó?

Đúng. Vì vậy, một điều chúng ta cần phải làm rõ là nó không giống như việc xâm nhập vào tài khoản cá nhân của bạn và làm những việc với tài khoản của bạn hoặc thông tin thẻ tín dụng của bạn. Nó thiên về việc có thông tin của bạn và sau đó sử dụng nó, rất có thể để gian lận viễn thông. Bởi vì ở Trung Quốc, gian lận viễn thông khá phổ biến. Và đã có trường hợp mọi người mua thông tin cá nhân và sử dụng thông tin đó để lừa nạn nhân cung cấp thêm thông tin. Vì vậy, hiện tại, mối quan tâm lớn nhất là nếu các tổ chức tội phạm có đủ khả năng mua thông tin của các công dân quốc gia, thì về cơ bản, chúng có thể sử dụng nó để có cơ sở dữ liệu của riêng mình và sử dụng nó để lừa người dân.

Làm thế nào mà câu chuyện này được đưa tin ở Trung Quốc và mọi người đang nói gì về nó?

Hiện tại, chúng tôi đang nghi ngờ rằng chính phủ Trung Quốc đã cấm mọi người nói về nó. Chúng tôi đang thấy một số người kiểm duyệt phương tiện truyền thông xã hội. Họ đang làm việc để loại bỏ những cuộc trò chuyện này. Và điều đó không đáng ngạc nhiên lắm vì chính phủ vốn tránh những cuộc trò chuyện kiểu đó trên mạng. Nhưng hiện tại, chính phủ chưa thấy bất kỳ loại phản hồi nào về trách nhiệm giải trình. Chúng tôi chưa biết chính phủ sẽgiải quyết vấn đề này như thế nào hoặc sẽ bảo vệ thông tin này tốt hơn trong tương lai ra sao.

Vậy, những tác động của vụ vi phạm dữ liệu này đối với an ninh mạng ở Trung Quốc là gì?

Tôi nghĩ nó bắt đầu một cuộc trò chuyện mới về trách nhiệm của chính phủ trong việc bảo mật các cơ sở dữ liệu này. Bởi vì trong vài năm qua, Trung Quốc có một số luật mới về bảo mật dữ liệu, đã có rất nhiều cuộc thảo luận về việc các công ty tư nhân thu thập quá nhiều thông tin và không lưu trữ chúng bảo mật. Đó là điều mà mọi người đã lo lắng và mọi người đã yêu cầu trách nhiệm giải trình nhiều hơn. Nhưng cho đến nay, các cuộc thảo luận về cách chính phủ lưu trữ dữ liệu đã cho rằng chính phủ có các nguồn lực và có công nghệ để bảo mật chúng rất tốt. 

Nhưng vụ vi phạm dữ liệu này chỉ cho chúng ta thấy rằng thực tế không phải lúc nào cũng vậy vì tất cả dữ liệu này đều do chính quyền địa phương quản lý. Họ có thể không có các phương pháp bảo mật tốt nhất để đảm bảo dữ liệu của công dân không thể bị rò rỉ ra công chúng.