研究者らは、データは中国国民の詳細なプロフィールを作成するために収集されたが、ユーザーはプライバシーを保護するためにほとんど何もできなかったと推測している。
この衝撃的な発見は、サイバーニュースの研究者とデータ保護ウェブサイトSecurityDiscovery.comの運営者との共同研究によってもたらされました。彼らは、パスワードを必要としない完全にオープンなデータベースを発見しました。そこには、約40億件の個人記録に相当する、最大631GBの情報が含まれていました。

中国国民に関するほぼすべての情報を含む40億ポンド相当の記録が漏洩した。写真:Cimei
TechRadarによると、40億件以上の機密ユーザー記録を含む保護されていない巨大なデータベースがサイバーセキュリティ研究者によってオンラインで発見されたとのこと。
この事件は、これまでに記録された中で最大のデータ漏洩事件であると考えられており、主に中国国民を含む何百万人ものユーザーが極度の危険にさらされている。
懸念されるのは、漏洩したデータの性質だ。研究チームによると、これは単なるハッキングではなく、「事実上すべての中国国民の行動、経済、社会に関する包括的なプロファイル」を構築することを目的として「綿密に収集・管理された」データベースであるようだ。これは、大規模な監視プロジェクトの一環である可能性を示唆している。
公開された記録には、氏名、生年月日、電話番号などの個人を特定できる情報 (PII) のほか、カード番号、負債および貯蓄情報、支出習慣などの機密性の高い財務データが含まれていました。
プロファイリングまたは監視目的で収集されたと思われるデータは、16のコレクションに分割されていました。最大のコレクションである「wechatid_db」には8億500万件以上のレコードが含まれており、その他には住宅、金融、IDデータが含まれていました。今回の漏洩では、Alipay、WeChat、台湾に関する情報を含む、合計40億件以上のレコードが漏洩しました。
「8億500万件以上の記録を持つ最大のコレクションは『wechatid_db』と名付けられており、これはおそらく百度が所有するスーパーアプリWeChatからのデータを指していると思われます」と投稿には書かれている。
2番目に大きいコレクション「address_db」には、地理識別された住宅データを含む7億8000万件以上のレコードが含まれています。3番目に大きいコレクションは「bank」とだけ名付けられており、決済カード番号、生年月日、氏名、電話番号などを含む金融データのレコードが6億3000万件以上含まれています。

漏洩した記録には、氏名、生年月日、電話番号、そして機密性の高い金融データなどの情報が含まれていた。写真:サイバーニュース
これら3つのコレクションを所有するだけで、熟練した攻撃者はさまざまなデータポイントを相関させ、特定のユーザーの居住地や消費習慣、負債、貯蓄を把握できるようになります。」
このように豊富な詳細情報があれば、脅威の攻撃者はソーシャル エンジニアリング攻撃、個人情報の盗難、金融詐欺、さらには被害者に対する脅迫などを簡単に実行できます。
データベースは発見後すぐに削除されましたが、どれくらいの期間公開されていたかは不明です。つまり、データがコピーされ、配布された可能性があります。40億件を超えるレコード数を誇るこのインシデントは、かつて史上最大規模のデータ侵害の一つと考えられていた国家公共データ漏洩事件よりも規模が大きいものです。
チームは、漏洩したデータの組織を特定できなかったため、特定できず、サーバーはすぐにオフラインになりました。影響を受けた個人が対応できる明確な手段はありませんでした。中国では、WeiboやDiDiなど、これまでにも大規模な漏洩が発生していますが、これほどの規模の漏洩は初めてです。40億件を超える記録が漏洩した今回の漏洩は、単一の情報源からの個人情報漏洩としては中国で最大規模のものとみられます。
出典: https://khoahocdoisong.vn/chan-dong-lich-su-4-ty-ho-so-nguoi-dung-trung-quoc-bi-lo-post1546566.html
コメント (0)