No que provavelmente é o maior vazamento de dados já registrado na China, bilhões de documentos contendo dados financeiros, informações do WeChat e do Alipay, além de outros dados pessoais sensíveis, foram expostos ao público. Preocupantemente, há pouco que os usuários afetados possam fazer para se proteger.
WeChat e Alipay responsáveis pelo maior vazamento de dados já resistrado na China
As mais recentes descobertas da equipe de pesquisa do Cybernews revelam que o vazamento supermassivo provavelmente expôs centenas de milhões de usuários, principalmente da China. Um gigantesco banco de dados com 631 gigabytes foi deixado sem senha, tornando públicos impressionantes 4 bilhões de registros.
Bob Dyachenko, pesquisador de cibersegurança e proprietário do site SecurityDiscovery.com, juntamente com a equipe do Cybernews, descobriu bilhões e bilhões de registros expostos em uma instância aberta.
O banco de dados consistia em várias coleções, contendo desde meio milhão até mais de 800 milhões de registros de diversas fontes. A equipe de pesquisa acredita que o conjunto de dados foi cuidadosamente reunido e mantido para construir perfis comportamentais, econômicos e sociais detalhados de praticamente qualquer cidadão chinês.
“O volume e a diversidade de tipos de dados neste vazamento sugerem que se tratava provavelmente de um ponto de agregação centralizado, possivelmente mantido para fins de vigilância, perfilamento ou enriquecimento de dados”, observou a equipe.
Não faltam maneiras pelas quais atores maliciosos ou Estados-nação poderiam explorar esses dados. Com um conjunto dessa magnitude, desde campanhas de phishing em larga escala, chantagem e fraudes, até coleta de inteligência patrocinada por governos e campanhas de desinformação estão entre as possibilidades.
Quais dados foram incluídos no maior vazamento de dados da China?
Apesar dos esforços, o Cybernews teve acesso limitado ao banco de dados, pois a instância exposta foi rapidamente retirada do ar. Isso também impediu a identificação dos responsáveis pelo banco de dados. No entanto, a coleta e manutenção de um banco de dados dessa natureza exige tempo e esforço, geralmente associados a agentes maliciosos, governos ou pesquisadores altamente motivados.
A equipe conseguiu visualizar dezesseis coleções de dados, provavelmente nomeadas de acordo com os tipos de dados que continham.
A maior coleção, com mais de 805 milhões de registros, foi nomeada “wechatid_db”, o que provavelmente indica que os dados vieram do superaplicativo WeChat, de propriedade da Baidu.
A segunda maior coleção, “address_db”, continha mais de 780 milhões de registros com dados residenciais e identificadores geográficos. A terceira maior, simplesmente chamada “bank”, tinha mais de 630 milhões de registros financeiros, incluindo números de cartões de pagamento, datas de nascimento, nomes e números de telefone.
A posse apenas dessas três coleções já permitiria que atacantes experientes correlacionassem diferentes pontos de dados para descobrir onde certos usuários vivem e quais são seus hábitos de consumo, dívidas e economias.
Outra coleção importante era nomeada em mandarim, com uma tradução aproximada de “verificações de três fatores”. Com mais de 610 milhões de registros, ela provavelmente continha documentos de identidade, números de telefone e nomes de usuários.
Enquanto isso, uma coleção chamada “wechatinfo” continha quase 577 milhões de registros. Como os IDs de usuários do WeChat estavam armazenados em uma coleção separada, acredita-se que essa coleção tenha armazenado metadados, registros de comunicação ou até conversas de usuários.
“O volume e a diversidade de tipos de dados neste vazamento sugerem que se tratava provavelmente de um ponto de agregação centralizado, possivelmente mantido para vigilância, perfilamento ou enriquecimento de dados,” disseram os pesquisadores.
Outros 300 milhões de registros estavam na coleção “zfbkt_db”, contendo informações de cartões e tokens do Alipay. Atacantes poderiam tentar realizar pagamentos não autorizados, assumir contas e roubar a identidade dos usuários. Combinada a uma coleção menor no vazamento, com 20 milhões de registros sobre dados financeiros relacionados ao Alipay, isso pode representar um desastre para os usuários cujos dados foram expostos.
Mais de 353 milhões de registros estavam distribuídos de forma desigual entre outras nove coleções, com dados sobre uma variedade muito ampla de tópicos. Quem quer que possua esse banco de dados tem informações sobre jogos de azar, registro de veículos, dados de emprego, fundos de pensão e seguros. Os pesquisadores acreditam que uma das coleções, chamada “tw_db”, contenha informações relacionadas a Taiwan.
O problema dos vazamentos de dados na China
Apesar dos melhores esforços, a equipe não conseguiu atribuir os dados a nenhuma organização identificável. Nenhuma informação ou cabeçalho que indicasse a propriedade estava presente, e a infraestrutura foi retirada do acesso público logo após a descoberta.
“Indivíduos que podem ter sido afetados por esse vazamento não têm nenhum recurso direto, devido ao anonimato do proprietário e à ausência de canais de notificação,” observou a equipe.
Vazamentos de dados originados na China não são novidade. Já relatamos anteriormente um vazamento que expôs 1,5 bilhão de registros do Weibo, DiDi, Partido Comunista de Xangai e outros, ou ainda um ator misterioso que divulgou mais de 1,2 bilhão de registros de usuários chineses. Mais recentemente, atacantes vazaram online registros de 62 milhões de usuários de iPhone.
No entanto, não conseguimos identificar nenhum vazamento que ultrapassasse os quatro bilhões de registros. Isso tornaria esse o maior vazamento de dados pessoais chineses de uma única fonte já identificado.
O artigo "Largest ever data leak exposes over 4 billion user records" foi escrito por Vilius Petkauskas no site Cyber News.
Disponível em: https://cybernews.com/security/chinese-data-leak-billiones-records-exposed/
