0
0
As perguntas continuam girando em torno de um incidente de 30 de junho, em que um indivíduo desconhecido colocou à venda em um fórum popular clandestino impressionantes 23 TB de informações de identificação pessoal (PII), pertencentes a cerca de 1 bilhão de pessoas na China.
E, enquanto isso, o banco de dados continua causando ondulações na Dark Web.
O conjunto de dados foi acessado de um banco de dados não seguro da polícia de Xangai hospedado na plataforma de hospedagem em nuvem do Alibaba. Incluía nomes, endereços, locais de nascimento, números de telefone, identidades nacionais e registros criminais associados a cidadãos chineses e até estrangeiros que poderiam ter visitado Xangai nos últimos anos. O banco de dados ainda está disponível para venda por 20 bitcoins, ou cerca de US$ 240.000 atualmente.
Acredita-se que o vazamento tenha acontecido porque um painel para gerenciar o banco de dados aparentemente foi deixado aberto para a Internet, sem senha, por mais de um ano. Embora o incidente represente um dos maiores comprometimentos de PII até o momento, as notícias dele foram amplamente apagadas na China.
No entanto, isso não impediu que os membros da prolífica comunidade de hackers do país migrassem para o fórum clandestino onde os dados estão disponíveis, de acordo com pesquisadores da Cybersixgill que acompanharam as consequências da violação massiva. Também houve um aumento notável nos vazamentos de dados de entidades chinesas que foram compartilhados no fórum desde 30 de junho, observaram.
“Antecipamos que veremos as reverberações dessa violação no subsolo por algum tempo”, prevê Naomi Yusupov, analista de inteligência chinesa da Cybersixgill. Ela espera que os agentes de ameaças tentem usar os dados vazados em campanhas de engenharia social, em ataques para tentar acessar mais dados e de várias outras maneiras maliciosas.
Yusupov também espera que a violação incentive outros agentes de ameaças a compartilhar mais dados de violações na China, como já começou a acontecer. Os agentes de ameaças chineses parecem estar vendo o alto preço pedido pelos dados de Xangai como uma indicação de que os bancos de dados chineses em geral são altamente valiosos. Isso poderia encorajar mais vazamentos de dados chineses, diz ela.
“O aumento maciço de usuários chineses ativos no fórum pode aumentar a comunicação e a transferência de conhecimento entre o submundo chinês e o inglês”, observa ela.
Mais do que apenas outro erro de configuração de nuvem
Houve inúmeros casos em que as organizações expuseram dados confidenciais de maneira semelhante, deixando-os em buckets de armazenamento em nuvem mal protegidos e acessíveis pela Internet, como os buckets S3 e ElasticSearch da Amazon . O incidente mais recente envolveu 3 TB de dados confidenciais pertencentes a funcionários de aeroportos na Colômbia e no Peru que foram expostos por meio de um bucket do Amazon S3 mal configurado.
Fornecedores como a Upguard relataram detectar milhares de tais instâncias nos últimos anos. As descobertas mais notáveis do UpGuard nos buckets do S3 incluem cerca de 540 milhões de registros de vários aplicativos de terceiros do Facebook, segredos comerciais pertencentes ao GoDaddy e 73 GB de dados pertencentes aos funcionários do Pocket Inet.
O que torna a violação de Xangai notável é sua escala. Pela maioria das contas, é um dos maiores compromissos já conhecidos de PII.
“Vemos violações como essa com bastante frequência”, diz Ray Kelly, membro do Synopsys Software Integrity Group. “[Mas] o volume e a amplitude impressionantes de PII contidos sobre cidadãos chineses e não cidadãos certamente levantarão bandeiras vermelhas”.
E não é apenas o aparente lapso na segurança do banco de dados que está em questão aqui: “Foi inteligente armazenar PII de 1 bilhão de usuários em um local para começar?” ele pergunta retoricamente.
John Bambenek, principal caçador de ameaças da Netenrich, diz que outra grande questão é por que ninguém notou 23 TB de dados sendo baixados do banco de dados na nuvem.
“Além dos backups, não consigo pensar em nenhum caso de uso legítimo que envolva mover um conjunto de dados inteiro como esse”, diz ele.
Muitas vezes, os administradores de banco de dados definem bancos de dados para dar às pessoas acesso de leitura e raramente têm controles para detectar quando alguém pode estar abusando desse acesso. Mesmo assim, “a detecção básica de anomalias de rede provavelmente poderia ter detectado isso”, diz Bambenek.
Uma espiada rara
O comprometimento de dados da polícia de Xangai também é notável porque houve poucos casos em que um grande incidente de segurança cibernética na China se tornou de conhecimento público.
“Embora a China tenha historicamente sido o lar de uma das maiores comunidades de cibercriminosos do mundo, as violações domésticas chinesas raramente são divulgadas porque o governo chinês censura a cobertura da mídia”, diz Yusupov, da Cybersixgill. Por exemplo, as principais plataformas de mídia social chinesas, como Weibo e WeChat, censuraram notícias sobre a violação do banco de dados da polícia de Xangai.
Mesmo assim, houve outros casos em que detalhes de violações dentro da China vazaram para o mundo exterior, observa Yusupov. Um exemplo é um incidente de 2016 no qual um hacker anônimo foi ao Twitter para expor informações confidenciais relacionadas a dezenas de funcionários do Partido Comunista Chinês e magnatas empresariais chineses, como o fundador do Grupo Alibaba, Jack Ma, e o magnata imobiliário Wang Jianlin, do Grupo Dalian Wanda.
Outros exemplos incluem um incidente de 2020 em que um ator malicioso roubou os dados de mais de 538 milhões de usuários e um em maio, onde dezenas de milhares de arquivos aparentemente hackeados da região de Xinjiang, no norte da China, foram liberados, expondo a perseguição da minoria étnica uigur lá, ela disse. diz.
FONTE: DARK READING