Vụ rò rỉ dữ liệu liên quan 1 tỷ người Trung Quốc đã kéo dài cả năm trước

Ngô Úy
•
Thứ Sáu, 08/07/2022

Một cơ sở dữ liệu trực tuyến khổng lồ chứa thông tin cá nhân của khoảng 1 tỷ công dân Trung Quốc, nhưng trong hơn một năm đã không được hệ thống an ninh bảo mật, khiến có thể truy cập công khai. Vấn đề đã làm dấy lên sự chú ý từ công luận khi gần đây, một người dùng ẩn danh trên một diễn đàn hacker rao bán thông tin trong cơ sở dữ liệu này.

email chua phan mem gian diep 1 — Trước khi một người dùng ẩn danh trên một diễn đàn hacker rao bán thông tin từ kho cơ sở dữ liệu được cho là của cơ quan chức năng Thượng Hải, cơ sở dữ liệu trực tuyến khổng lồ chứa thông tin cá nhân của khoảng 1 tỷ công dân Trung Quốc này đã không được bảo mật trong hơn một năm. (Ảnh minh họa: Gorodenkoff/Shutterstock)

Hãng tin Mỹ CNN dẫn nhận định từ giới chuyên gia an ninh mạng cho biết, vụ rò rỉ thông tin cá nhân này có thể là một trong những vụ lớn nhất từ trước đến nay, làm nổi bật rủi ro của việc thu thập và lưu trữ một lượng lớn dữ liệu cá nhân nhạy cảm trực tuyến, đặc biệt là trong tình huống nhà chức trách ở những nước độc tài có thể tùy ý truy cập dữ liệu mà không thể có cơ chế quyền lực hạn chế ngăn chặn.

Từ ít nhất tháng 4/2021, trang web LeakIX đã phát hiện ra lượng lớn dữ liệu trong kho cơ sở dữ liệu tại Trung Quốc chứa thông tin cá nhân của người dân nước này có thể truy cập công khai thông qua một liên kết cửa hậu, theo đó một URL cho phép bất kỳ ai cũng có quyền truy cập không giới hạn đối với kho dữ liệu.

Quyền truy cập vào cơ sở dữ liệu mà không cần mật khẩu này đã bị tắt sau khi vào thứ Năm tuần trước, một người dùng ẩn danh quảng cáo trên một diễn đàn hacker việc bán hơn 23TB dữ liệu với giá 10 bitcoin (khoảng 200.000 USD).

Người dùng ẩn danh cho biết, cơ sở dữ liệu do hệ thống an ninh công cộng Thượng Hải thu thập và quản lý, chứa thông tin nhạy cảm về 1 tỷ người Trung Quốc, bao gồm tên, tuổi, nơi sinh, địa chỉ, số điện thoại di động, số ID; đặc biệt còn có hàng tỷ thông tin nhạy cảm hồ sơ án của tội phạm và tranh chấp dân sự.

Người rao bán cơ sở dữ liệu cũng tuyên bố rằng cơ sở dữ liệu không an toàn này được lưu trữ bởi Dịch vụ đám mây Alibaba thuộc ‘gã khổng lồ’ thương mại điện tử Trung Quốc Alibaba.

Lỗi ở bên sở hữu dữ liệu chứ không phải của công ty dịch vụ lưu trữ

Chuyên gia được CNN phỏng vấn cho biết lỗi là ở chủ sở hữu dữ liệu chứ không phải của công ty dịch vụ lưu trữ.

Giám đốc Troy Hunt của Microsoft tại Úc nói với CNN: “Tôi tin rằng đây sẽ là vụ vi phạm thông tin công khai lớn nhất cho đến nay. Tất nhiên tác động của việc rò rỉ này là rất nghiêm trọng khi cơ sở dữ liệu bao quát một phạm vi rộng lớn dân số Trung Quốc”.

Trung Quốc có dân số 1,4 tỷ người, như vậy có nghĩa là vụ rò rỉ dữ liệu có thể ảnh hưởng đến hơn 70% dân số Trung Quốc.

Từ khoảng tháng 4/2021 bất kỳ ai cũng có thể tải xuống

Không rõ có bao nhiêu người đã truy cập hoặc tải xuống cơ sở dữ liệu này khi trong 14 tháng đã được cho mở công khai trên mạng. Hai chuyên gia an ninh mạng phương Tây được CNN phỏng vấn cho biết, họ đã biết về sự tồn tại của cơ sở dữ liệu và tính công khai của nó trước khi vấn đề được đưa ra công luận vào tuần trước, bất cứ ai biết cách tìm là có thể dễ dàng phát hiện.

Nhà nghiên cứu an ninh mạng và người sáng lập công ty tình báo darknet Shadowbyte là Vinny Troia nói với CNN rằng lần đầu tiên ông phát hiện ra cơ sở dữ liệu này vào khoảng tháng Một năm nay khi ông đang tìm kiếm cơ sở dữ liệu mở trên Internet.

“Tôi phát hiện ra rằng trang web kho cơ sở dữ liệu này là công khai, bất kỳ ai [đều có thể] truy cập và tất cả những gì bạn phải làm là đăng ký một tài khoản”, Troia nói.

“Khi nó mở vào tháng 4/2021, bất kỳ ai cũng có thể tải xuống dữ liệu”, ông nói thêm.

Troia cho biết ông đã tải xuống một phần dữ liệu tìm kiếm chính từ kho cơ sở dữ liệu, trong đó chứa thông tin gần 970 triệu công dân Trung Quốc. Nhưng ông nói thật khó để phân biệt liệu quyền truy cập công cộng này là sơ xuất của việc quản lý hay một nỗ lực có chủ ý để một số ít người có thể truy cập được.

“Hoặc là họ quên, hoặc họ cố tình công khai vì họ dễ lấy dữ liệu hơn”, Troia đề cập đến các nhà chức trách chịu trách nhiệm về cơ sở dữ liệu, “Tôi không biết tại sao họ lại làm điều này, có vẻ như rất bất cẩn”.

Việc rò rỉ có thể khiến có người bị tống tiền

Theo Reuters, năm 2019 nhà nghiên cứu an ninh mạng người Hà Lan Victor Gevers đã phát hiện ra một cơ sở dữ liệu trực tuyến chứa tên, số ID quốc gia, ngày sinh và nơi cư trú của hơn 2,5 triệu người ở vùng Tân Cương xa xôi của Trung Quốc. Trong nhiều tháng, công ty SenseNets Technology của Trung Quốc đã không thiết lập bảo mật cho dữ liệu.

Nhưng nhà nghiên cứu an ninh mạng này cho biết vụ rò rỉ cơ sở dữ liệu mới nhất ở Thượng Hải đặc biệt đáng lo ngại, không chỉ vì khối lượng chưa từng có mà còn vì độ nhạy cao của thông tin mà nó chứa.

Phân tích mẫu cơ sở dữ liệu của CNN cho thấy dữ liệu hồ sơ vụ án của cảnh sát kéo dài gần 20 năm từ 2001 – 2019. Tuy hầu hết hồ sơ vụ án là tranh chấp dân sự nhưng cũng có không ít hồ sơ tội phạm từ lừa đảo đến hiếp dâm.

Ví dụ trong một vụ án, vào năm 2018 một người dân Thượng Hải đã bị cảnh sát trát đòi hầu tòa vì sử dụng mạng riêng ảo (VPN) để vượt tường lửa của nhà cầm quyền Trung Quốc nhằm truy cập Twitter, người này bị cáo buộc chia sẻ phát ngôn phản động liên quan đến chính trị và các nhà lãnh đạo Đảng Cộng sản Trung Quốc.

Giám đốc Troy Hunt của Microsoft tại Úc nói: “Những hồ sơ này có thể chứa nhiều thứ mà tôi lo ngại như bạo lực gia đình, ngược đãi trẻ em… Điều này có thể dẫn đến việc tống tiền (của những người có liên quan đến hồ sơ) không? Chúng tôi vẫn thấy những trường hợp bị tống tiền sau khi thông tin nhạy cảm của họ bị lộ”.

Luật Bảo vệ thông tin cá nhân có tác dụng với nhà cầm quyền độc tài?

Năm ngoái, nhà cầm quyền Trung Quốc đã lần đầu tiên thông qua “Luật Bảo vệ Thông tin Cá nhân”, trong đó đưa ra các quy tắc cơ bản về cách thông tin dữ liệu cá nhân được thu thập, sử dụng và lưu trữ. Nhưng các chuyên gia lo lắng rằng mặc dù luật có thể điều chỉnh các công ty công nghệ, nhưng đối với chính quyền chuyên chế thì họ đứng trên luật nên khó chế ước họ.

Chuyên gia bảo mật Bob Diachenko ở Ukraine lần đầu tiên gặp cơ sở dữ liệu này vào tháng Tư. Diachenko cho biết vào giữa tháng Sáu, công ty của ông đã phát hiện ra rằng cơ sở dữ liệu đã bị tấn công bởi một hacker độc hại giấu tên, tin tặc này đã sao chép và xâm phạm cơ sở dữ liệu và để lại một thông báo tiền chuộc yêu cầu 10 bitcoin để phục hồi cơ sở dữ liệu.

Hiện không rõ người này có phải cùng một người với người tuần trước rao bán cơ sở dữ liệu không.

Theo chuyên gia bảo mật Diachenko, đến ngày 1/7 thông báo tiền chuộc đã biến mất, nhưng thực tế dữ liệu chỉ có 7 gigabyte (7GB) chứ không phải 23 terabyte (23TB) như ban đầu tuyên bố. Có lẽ vấn đề tiền chuộc đã được giải quyết, nhưng cơ sở dữ liệu bị lộ vẫn tiếp tục bị lạm dụng cho đến khi nó bị đóng vào cuối tuần trước.

Cảnh sát Thượng Hải đã không trả lời yêu cầu bình luận của CNN về ghi chú tiền chuộc.