Opinión - Bloomberg

Vazamento de dados em Xangai não foi fruto de ciberataque - foi apenas desleixo

Práticas precárias de segurança podem ter levado a uma das maiores violações de dados pessoais do mundo

Chave de acesso pode ter ficado visível e, com certo entendimento de como o banco de dados foi configurado, invasor aproveitou
Tempo de leitura: 4 minutos

Bloomberg Opinion — A comunidade global de cibersegurança ficou em alerta esta semana com a notícia de que foram vazados dados de 1 bilhão de pessoas da base da polícia de Xangai. As implicações podem ser amplas, mas o aspecto mais impressionante do caso pode ser o fato de que provavelmente não foi um ataque que causou o vazamento, mas sim erros básicos de segurança digital.

O preço do banco de dados, que inclui bilhões de autos de processos, é de apenas 10 bitcoin (BTC), ou US$ 202 mil. Isso indica que o vendedor está mais para um oportunista que um hacker profissional motivado pelo dinheiro.

Uma amostra dos dados foi publicada em um fórum online e visualizado pela Bloomberg Opinion. São registros de pessoas de toda a China, com nomes, identificação e números de telefone, a fonte original dos dados e uma referência ao momento de registro das informações. O assustador é que o banco de dados inclui campos que trazem informações de entregas expressas e de comida. Isso pode indicar que os dados foram compilados pela polícia a partir de várias fontes pelo país, além do que a instituição normalmente obtém diretamente. Mas é claro que podem haver outras explicações para esses dados.

A Bloomberg Opinion não conseguiu verificar a autenticidade dos dados; no entanto, diversas publicações no mesmo fórum indicam que os usuários verificaram as informações e constataram a veracidade. As autoridades de Xangai não responderam publicamente à suposta violação dos dados. Representantes da polícia da cidade e da Administração do ciberespaço da China, órgão supervisor da internet no país, não responderam a pedidos da Bloomberg News por comentários.

PUBLICIDADE
LEIA +
Hackers levam US$ 100 milhões em mais um gigantesco roubo do mundo cripto

Ao passo que hackers tentam entrar em um sistema de computador possivelmente por meio de malware ou phishing, este vazamento parece ser mais simples. Parece que um desenvolvedor de software pode ter deixado uma chave de acesso visível em um repositório online de códigos ou em uma publicação de blog, segundo dados publicados em fóruns públicos e redes sociais e as discussões entre pessoas familiarizadas, mas não envolvidos diretamente com o caso. Essa chave de acesso é semelhante a uma senha, mas funciona de maneira diferente.

Com essa chave e uma compreensão básica da forma como o banco de dados foi configurado – o que não exigiria informações privilegiadas – as informações provavelmente foram extraídas por meio do acesso a um servidor mal configurado. O consenso na comunidade de cibersegurança é que o vazamento não foi um ataque, mas um exemplo de desleixo e práticas precárias de segurança, embora o método exato da obtenção dos dados não tenha sido confirmada.

As informações publicadas online indicam que o banco de dados era administrado pela polícia de Xangai, mas pode ter sido hospedado em um servidor operado pela Alicloud, da Alibaba (BABA). Não há sugestões de que a Alicloud é responsável por quaisquer vulnerabilidades de segurança. A Alibaba não respondeu a e-mails e ligações telefônicas que pediam comentários. Não ficou claro se a pessoa (ou pessoas) que baixou os dados é a mesma que está vendendo.

PUBLICIDADE
LEIA +
Piratas cibernéticos são a mais nova ameaça a suprimentos globais

As violações de dados são muito comuns. Elas vão desde ataques direcionados, como o de agentes russos à Solarwinds em 2020, àqueles causados por uma falha de segurança, como o caso da First American Financial em 2019. Mesmo assim, o incidente da polícia de Xangai pode acabar se tornando um dos maiores vazamentos da história, principalmente levando em conta as informações contidas no banco de dados.

Embora não haja evidências de que as informações financeiras (como números de cartão de crédito) foram incluídas no vazamento, os investigadores provavelmente vão analisar os dados para visualizar a sociedade chinesa moderna e a forma como o governo funciona. Um vazamento anterior de um banco de dados da polícia chinesa criou a base da investigação da forma como as autoridades monitoram e controlam a população uigur do país. Esse trabalho foi posteriormente publicado pelo Instituto de Políticas Estratégicas da Austrália e pelo Intercept. Pequim negou repetidamente as acusações de repressão a uigures.

Conforme o vazamento for analisado, incluindo o significado de todos os campos e a forma como os dados estão conectados a várias organizações pela China, teremos mais detalhes sobre a estrutura de coleta de dados da China e a forma como o país usa as informações para monitorar seus cidadãos. Mesmo assim, não devemos perder de vista o fato de que 1 bilhão de pessoas agora são possíveis vítimas de mais uma violação de dados causada por más práticas de segurança.

Esta coluna não reflete necessariamente a opinião do conselho editorial ou da Bloomberg LP e de seus proprietários.

PUBLICIDADE

Tim Culpan é colunista da Bloomberg Opinion e cobre a área de tecnologia na Ásia. Anteriormente cobriu tecnologia para a Bloomberg News.

--Este texto foi traduzido por Bianca Carlos, localization specialist da Bloomberg Línea.

Veja mais em Bloomberg.com

PUBLICIDADE

Leia também

Maior companhia aérea da Escandinávia abre falência para reduzir dívidas

Concorrente do Nubank aumenta limite do cartão de crédito e diz seguir em ritmo de contratação