TENCENT HOLDINGS LIMITED Der Hacker mit dem Benutzernamen "XJP" hat am Mittwoch im Hackerforum Breach Forums ein Angebot zum Verkauf der Daten für 4.000 Dollar veröffentlicht.
Die Person stellte eine Probe der Daten zur Verfügung, darunter die Telefonnummern, Namen und chinesischen Identifikationsnummern sowie den Gesundheitsstatus von 47 Personen.
Elf der 47 Personen, die von Reuters erreicht wurden, bestätigten, dass sie in der Stichprobe aufgeführt waren, obwohl zwei sagten, ihre Identifikationsnummern seien falsch. Reuters war nicht in der Lage, die Authentizität der Behauptung des Hackers weiter zu überprüfen.
Der wahre Umfang und die Natur dieser Art von Datenhacks wird manchmal vom Verkäufer übertrieben dargestellt, um einen schnellen Gewinn zu erzielen.
"Diese DB (Datenbank) enthält alle Personen, die seit der Adoption von Suishenma in Shanghai leben oder Shanghai besucht haben", so XJP in dem Posting, in dem ursprünglich 4.850 $ verlangt wurden, bevor der Preis noch am selben Tag gesenkt wurde.
Suishenma ist der chinesische Name für Shanghais Gesundheitscode-System, das die 25-Millionen-Einwohner-Stadt Anfang 2020 eingeführt hat, um die Verbreitung von COVID-19 zu bekämpfen. Alle Einwohner und Besucher müssen es benutzen.
Die App sammelt Reisedaten, um den Benutzern eine rote, gelbe oder grüne Bewertung zu geben, die die Wahrscheinlichkeit angibt, dass sie das Virus haben. Der Code muss vorgezeigt werden, um öffentliche Einrichtungen zu betreten.
Die Daten werden von der Stadtverwaltung verwaltet und die Nutzer können auf Suishenma zugreifen, indem sie entweder die App herunterladen oder sie über die Alipay-App, die dem Fintech-Riesen und Alibaba-Tochterunternehmen Ant Group gehört, und die WeChat-App der Tencent Holdings öffnen.
Die Regierung von Shanghai, Ant und Tencent reagierten nicht sofort auf Anfragen zur Stellungnahme. XJP lehnte es ab, einen Kommentar abzugeben, als es auf Breach Forums erreicht wurde.
"Ich bin noch nicht bereit, Fragen zu beantworten, da ich noch viel mehr zu berichten habe", sagte XJP.
Der angebliche Einbruch bei Suishenma erfolgte, nachdem ein Hacker im vergangenen Monat behauptet hatte, 23 Terabyte persönlicher Daten von einer Milliarde chinesischer Bürger von der Polizei in Shanghai erlangt zu haben.
Dieser Hacker bot auch an, die Daten in Breach-Foren zu verkaufen.
Der erste Hacker war in der Lage, Daten von der Polizei zu stehlen, da ein Dashboard zur Verwaltung einer Polizeidatenbank mehr als ein Jahr lang ohne Passwortschutz im öffentlichen Internet offen gelassen worden war, berichtete das Wall Street Journal unter Berufung auf Cybersicherheitsforscher.
Die Zeitung berichtet, dass die Daten auf der Cloud-Plattform von Alibaba gehostet wurden und dass die Behörden von Shanghai Führungskräfte des Unternehmens wegen der Angelegenheit vorgeladen haben.
Weder die Regierung von Shanghai noch die Polizei oder Alibaba haben sich zu der Angelegenheit mit der Polizeidatenbank geäußert.
Chinesische Regulierungsbehörden haben in den letzten zwei Jahren eine Reihe neuer Regeln angekündigt, die die Aufsicht über die Verwaltung von Nutzerdaten durch den privaten Sektor verstärken, nachdem es jahrelang Beschwerden von Einwohnern darüber gab, dass ihre persönlichen Daten leicht gestohlen oder verkauft werden könnten.
Ein Screenshot des Angebots von XJP in den Breach-Foren ging am Freitag in den chinesischen sozialen Medien viral und veranlasste mehrere Weibo-Nutzer, sich zu diesem jüngsten Datenleck und seinen weiteren Auswirkungen zu äußern und zu fragen, welche Maßnahmen ergriffen werden würden.
"Datenlecks in China sind wirklich keine ungewöhnlichen Nachrichten mehr", sagte einer. (Berichte von Eduardo Baptista und der Shanghaier Nachrichtenredaktion; Schreiben von Brenda Goh; Bearbeitung von Robert Birsel, Mike Harrison und Mark Potter)
