[1]Imagen derivada de una ilustración de dominio público creada por mohamed hassan en PxHere [1]
Un hacker anónimo que utiliza el pseudónimo «ChinaDan» filtró un conjunto de datos de 23.88 terabytes (TB) que supuestamente contienen los datos personales de miles de millones de habitantes chinos y los puso en venta por 10 bitcoins (unos 200 000 dólares estadounidenses), el 30 de junio de 2022. El hacker publicó el anuncio en el sitio web Breach Forums, comunidad en línea de hackers, y aseguró que el contenido provenía de los datos del servidor de la Policía Nacional de Shanghái.
Aunque las autoridades chinas todavía no han confirmado ni desmentido la filtración de datos, periodistas como Rachel Cheung de VICE World News [2] o Karen Hao de Wall Street Journal contactaron a algunas de las personas que aparecen en la lista para comprobar si los datos eran correctos. Todos los que respondieron a sus llamadas confirmaron que ese era el caso.
A hacker is selling an alleged 1 billion Chinese citizens’ information stolen from Shanghai police. @rachelliang5602 [3] & I downloaded the sample the hacker provided and called dozens of people listed. Nine picked up & confirmed exactly what the data said. https://t.co/X0VhJaWjvb [4]
— Karen Hao 郝珂灵 (@_KarenHao) July 4, 2022 [5]
Supuestamente, un hacker está vendiendo los datos de mil millones de ciudadanos chinos robados a la Policía de Shanghái. Rachel Lian y yo descargamos la muestra que el hacker publicó y llamamos a varias personas que aparecían en la lista. Nueve respondieron y confirmaron que los datos filtrados eran correctos.
Según The Wall Street Journal, los datos podían haberse filtrado del servidor en la nube de Aliyun [6], filial de Alibaba Group dedicada a la computación en la nube. En estos momentos, la empresa está investigando el incidente.
ChinaDan ha asegurado que el conjunto de datos contiene datos personales de mil millones de habitantes chinos, así como varios miles de millones de registros de delitos y de casos policiales que incluyen datos como nombres, direcciones, fechas y lugares de nacimiento o números de documentos de identificación nacionales.
El anuncio de venta contenía también una muestra de 750 000 datos para que los posibles compradores pudieran verificar su autenticidad. Si todos los datos contenidos en el archivo de 28.88 TB fueran correctos, estaríamos ante la mayor filtración de datos de la historia.
Según las tablas de datos publicadas en Breach Forum, el conjunto reúne siete índices de datos. Los 750 000 datos de muestra proceden de los tres índices principales, que contienen 250 000 datos de individuos, 250 000 datos de registros de investigaciones policiales y 250 000 datos de registros de plataformas comerciales y de la administración pública.
Tan pronto como la noticia llegó a las redes, algunos internautas chinos pusieron manos a la obra para verificar la autenticidad de los datos filtrados. Sin embargo, las redes sociales, censuraron sus descubrimientos y conclusiones.
Índice de contenidos del conjunto de datos
Un analisis detallado [7] publicado en Zhihu, sitio web de preguntas y respuestas de China continental, contiene una lista del contenido de los conjuntos de datos de muestra. Ahí aparecen datos, como número de documento de identificación nacional, nombre, dirección, lugar de nacimiento, estudios, estado civil, información sobre el servicio militar, altura y peso, empleo, creencia religiosa, orientación política, antecedentes penales (incluidos los tipos de delito) y las fotografías que aparecen en los documentos nacionales de identidad, en las licencias de conducir y en los pasaportes. Algunos datos contenían incluso información relacionada con la movilidad, como controles de inmigración, estancias en hoteles, inicios de sesión en cibercafés, centros de detención y de internamiento y más.
El archivo de datos sobre antecedentes penales incluye información de dónde se cometió el delito, de qué tipo fue, el estado de la investigación, los detalles del caso, los datos personales de quien informó del caso (número del documento nacional de identidad y número de teléfono) y de la persona a cargo del caso (comisaría y número de identificación laboral).
Los datos extraídos de las plataformas comerciales incluyen información de los usuarios, como sus pedidos de compra, información de la entrega, del pago, de los pedidos de comida, de la compra de billetes de transporte y de registros de viajes. Los datos provenientes de las plataformas de administración pública contienen datos de tecnología forense, registros de investigaciones económicas y de inmigración, información sobre los locales de entretenimiento frecuentados, directivas de control de tráfico y detalles sobre las personas que forman parte de alguno de los siete grupos clasificados como objetivos (7類重點人員 en chino), que integran posibles terroristas, activistas, delincuentes, traficantes de drogas, fugitivos, personas con trastornos mentales y peticionarios. También puede consultarse información sobre investigaciones cibernéticas, casas de empeños, centros de internamiento y de detención, centros de tratamiento de adicciones, registros de propiedad, de habitantes, de hogares, de la población regular y de la real, registros médicos, de uso de combustible y muchos más.
El índice de contenidos publicado en Zhihu coincide con las averiguaciones de otras personas que están investigando el caso, como @hackepoch [8], @Kingstarry4 [9], @wenjun7011 [10]y @williamlong [11], destacado bloguero de tecnología.
Una mirada más profunda a los datos: control de población y estabilidad
Algunos usuarios ya han puesto en marcha una investigación inicial con los datos de la muestra para sacar conclusiones sobre la demografía de la población. Yi Fuxian, demógrafo de la Universidad de Wisconsin-Madison, se mostró sorprendido por el hecho de que los 250 000 datos demográficos filtrados abarcaran todos los condados, incluso los de menos de 10 000 habitantes. Atendiendo a la distribución por edades de la muestra de datos demográficos, así como los datos de las inoculaciones de la vacuna del bacilo de Calmette-Guérin [12] contra la tuberculosis, que es obligatoria para recién nacidos, el investigador Yi ha llegado a la conclusión [13] de que se está subestimando la crisis demográfica china porque los nacimientos producidos en 2020 fueron menores que los reflejados en el censo oficial del mismo año.
El conjunto de datos muestra también la escala del control de estabilidad en China. Por ejemplo, el bloguero especializado en tecnología William Long descubrió que de entre la muestra de 250 000 personas, 166 pertenecían [14] a uno de los siete grupos objetivos, lo que si se extrapola quiere decir que hay más de 660 000 personas que podrían estar incluidas en las listas de control para la estabilidad de China. El bloguero también señaló que dos de los 250 000 delitos estaban relacionados [15] con delitos de expresión en Twitter. Si volvemos a extrapolar estos datos a la muestra total, podría haber 8000 casos de delitos relacionados con Twitter.
Consecuencias: Seguridad individual y crisis política
No es la primera vez que se produce una filtración grave de datos personales privados en China que luego se venden en salas de chat secretas. Por ejemplo, en 2020, las autoridades de la ciudad de Zhuhai detuvieron a un hombre que tenía en su posesión 120 gigabytes de archivos [16]que incluían mil millones de datos personales de sus compatriotas. Asimismo, en 2021 las autoridades policiales de la provincia de Jiangsu cerraron [17] una sala de chat de 200 000 miembros en la que se vendían datos de personas específicas. El administrador de la sala tenía también mil millones de datos personales.
Sin embargo, estas filtraciones pasadas no serían nada en términos de magnitud al lado de la filtración actual si se llega a confirmar su veracidad.
Los ciudadanos ya se están dando cuenta en las redes sociales del impacto de esta filtración. Algunos usuarios de Weibo están preocupados por si se usan los datos para estafas o chantajes, ya que se incluye información personal como antecedentes penales. Además, los chinos disidentes en el extranjero han expresado en Twitter que los datos podrían socavar la legitimidad del Partido Comunista Chino al quedar a descubierto el fracaso de sus políticas. El destacado arquitecto chino de software Issac Mao nos invita [18]a reflexionar:
…the data breach is a fresh new case of a dictator’s dilemma: the more you concentrate, the more you lose control.
…la filtración de datos es un nuevo caso del dilema del dictador: a mayor concentración de poder, menor control.