Furto di dati per un miliardo di cittadini cinesi

Nomi, indirizzi, luoghi di nascita, numeri di cellulare. E ovviamente mail e altri dati personali; addirittura quelli sui propri precedenti penali. Immaginate che tutto questo finisca sul dark web e venga messo in vendita. Immaginate poi che quei dati appartengano a circa un miliardo di persone.

Questo basta per far capire la portata dell’evento criminoso, avvenuto in Cina agli inizi di luglio. I dati riguardano solo cittadini cinesi – cosa che equivale al 71% della popolazione del Paese – e sono stati rubati da un database della polizia di Shangai. Del fatto si parla già come del più grande furto di dati personali di sempre.

La notizia del crimine è apparsa su Breach Forums, uno spazio del dark web frequentato dai cybercriminali di tutto il mondo. A darla è stato l’utente ChinaDan, con un post in cui ha dichiarato di aver messo in vendita i 23 terabyte di dati a un prezzo di 10 bitcoin (circa 200mila euro). Come prova dell’autenticità della dichiarazione, ha messo a disposizione sul forum una parte di quel miliardo e passa di dati (più o meno 750 mila), seguendo una consuetudine applicata in casi come questo.


Il silenzio delle autorità

Dal dark web la notizia è passata al web sul quale navighiamo tutti, ripresa prima dal sito Asiamarkets e in seguito dai principali media internazionali. Le autorità cinesi non hanno commentato l’evento, confermando la reticenza e l’opacità con le quali hanno sempre trattato i casi di furto di dati personali.

Una pratica che non sorprende, per due ragioni: la prima è l’enorme numero di persone i cui dati sono stati rubati; la seconda è che questi sono stati sottratti dai sistemi di sicurezza della polizia di Shangai, elemento che proverebbe l’esistenza di una vulnerabilità decisamente importante. In aggiunta al proprio silenzio, le autorità stanno facendo di tutto per ottenere anche quello dei cittadini: su Weibo, il social network più popolare in Cina, gli hashtag che si riferiscano al furto sono bloccati.

A cercare conferme sono stati i media esteri, ma invano. L’agenzia di stampa Reuters e il quotidiano Guardian hanno riportato di non essere riusciti a confermare l’autenticità dei dati messi in vendita da ChinaDan. I redattori del quotidiano, in particolare, hanno provato a contattare alcuni dei numeri disponibili nella lista dei 750mila resa pubblica, ma molti di essi non erano attivi.


I timori diffusi

Nessuna conferma, quindi. Ma molta preoccupazione. Zhao Changpeng, amministratore delegato di Binance (una delle principali piattaforme di scambio di criptovalute), ha dichiarato che nella sua società il livello di allarme è alto, e che sono stati intensificati i processi di verifica per impedire che sulla loro piattaforma possano essere scambiati i bitcoin utilizzati per acquistare i dati rubati. Che, secondo gli esperti, sono stati venduti a un prezzo relativamente basso, elemento dal quale si potrebbe desumere che ChinaDan voglia venderli come al mercato: nessuna esclusiva e quanti più clienti possibili.

Tra le diverse dichiarazioni c’è stata anche quella rilasciata da Bill Conner, CEO di SonicWall (azienda si dicurezza informatica) a Infosecurity Magazine: «Questo tipo di informazioni di natura personale è molto ricercato dai criminali informatici che perseguono scopi di lucro. Le organizzazioni dovrebbero implementare le migliori pratiche di sicurezza, come un approccio stratificato alla protezione e l'aggiornamento proattivo di qualsiasi dispositivo di sicurezza non aggiornato».