Un chercheur en sécurité a affirmé que deux bases de données non protégées sur Internet ont laissé fuiter plus de 90 millions de données de personnes et d’entreprises en Chine. Les bases de données dont il s’agit appartiennent au département de la sécurité publique de la province du Jiangsu en Chine et contiendraient, selon lui, plus de 26 Go de données. Au total, ils contenaient 58 364 777 enregistrements de citoyens et 33 708 010 enregistrements commerciaux. Les bases de données ont été repérées pour la première fois par Sanyam Jain, chercheur en sécurité indépendant et membre de la Fondation GDI.
Dans la province du Jiangsu en Chine, un serveur ElasticSearch, appartenant au département de la sécurité publique, accessible au public et non sécurisé aurait exposé deux bases de données comportant plus de 90 millions d’enregistrements de données personnelles et d’entreprises. Autrement dit, le serveur de base de données ElasticSearch du département de la sécurité publique de la province du Jiangsu a été rendu accessible au public avec tous les droits d’administrateur, donnant accès à deux bases de données contenant des informations sensibles sur les personnes et les entreprises.
Les bases de données seraient à présent sécurisées. Cependant, elles contenaient des informations personnellement identifiables (PII) sur des individus, notamment leurs noms, leur date de naissance, leur sexe, leurs numéros d’identification et leurs coordonnées géographiques. Ils contenaient également des champs de données nommés “city_open_id”, “city_relations” et “province_open_id” pour les individus. Du côté des entreprises, la fuite de données a révélé des détails sur le type des entreprises, les identifiants d’entreprise, les coordonnées de localisation, “city_open_id” et d’autres informations plus sensibles. Outre les deux bases de données ElasticSearch exposées, le département de la sécurité publique de la province du Jiangsu disposerait également d’une console d’administration « Public Security Network » qui demande un combo utilisateur/mot de passe valide, ainsi qu’une installation Kibana accessible au public et s’exécutant sur le serveur.
Il est destiné à faciliter la navigation et l’analyse des données stockées à l’aide d’une interface graphique. Cependant, contrairement aux autres cas d’installations Kibana déjà exposées, celle-ci n’était pas entièrement configurée, car une fois chargée dans un navigateur Web, elle passerait directement à la page « Créer un modèle d’index ». En effet, Jain a déclaré que la fuite de la base de données était due à un cluster ElasticSearch mal configuré, qui accordait des droits d’administrateur complets à toute personne tentant d’accéder à la base de données.
Ce dernier a ensuite signalé l’incident au département de la sécurité publique de la province du Jiangsu, ainsi qu’au CNCERT/CC (National Computer Network Emergency Response Technical Team/Coordination Center of China), leur demandant de sécuriser les bases de données. Le département de la sécurité publique de la province du Jiangsu n’a pas répondu au message de Sanyam. Néanmoins, le CNCERT/CC a su vite établir le contact avec le propriétaire de la base de données. Celui-ci a sans doute résolu le problème, car à la fin du week-end, les deux bases données n’étaient plus accessibles au public.
Cela dit, il semblerait que les fuites de données comme celle-là soient une monnaie courante en Chine. En mars dernier, une fuite de données avait révélé d’importantes informations sur environ 1,8 million de femmes chinoises, y compris leur statut « Prêtes à procréer ». Forbes a rapporté dans le mois de mars qu’un serveur MongoDB non sécurisé a divulgué des informations confidentielles sur 1,8 million de femmes chinoises, vraisemblablement suivies. La base de données non sécurisée à laquelle n’importe qui pouvait accéder a été découverte par le hacker éthique néerlandais Victor Gevers à la recherche de bases de données MongoDB ouvertes et non sécurisées.
Victor Gevers, fondateur du groupe à but non lucratif GDI avait signalé l’incident sur Twitter. « En Chine, il y a une pénurie de femmes », a écrit Gevers ce week-end. « Une organisation a donc commencé à créer une base de données pour commencer à enregistrer plus de 1,8 million de femmes avec toutes sortes de détails comme les numéros de téléphone, les adresses, l’éducation, l’emplacement, le numéro d’identification, l’état civil et un statut “Prêtes à procréer” ». Bien avant ce cas, l’équipe de chercheurs de la Fondation GDI avait découvert les composants d’une plateforme de surveillance des médias sociaux à grande échelle exposés dans des bases de données MongoDB non sécurisées en Chine.
Selon Victor Gevers, l’infrastructure de surveillance qui était composée d’un grand nombre de serveurs MongoDB synchronisés, recueillerait apparemment des profils de médias sociaux et des messages instantanés à partir de six plateformes différentes segmentées par province. Cette infrastructure comprendrait environ 364 millions de profils ainsi que leurs messages de clavardage privés et leurs transferts de fichiers quotidiens, d’après le chercheur en sécurité informatique. Une autre fuite de données découverte en février par Gevers a révélé que la Chine suit près de 2,6 millions de personnes avec 6,7 millions de données GPS collectées en 24h.
Cela peut être la preuve d’une surveillance de masse dans le Xinjiang, une région au nord-ouest de la Chine où les Ouïghours et d’autres minorités musulmanes sont enfermés par la police. Selon Gevers, la découverte a été rendue possible grâce à la faille d’une base de données en ligne contenant les noms, les numéros de carte d’identité, les dates de naissance et les données de localisation laissés sans protection pendant des mois par SenseNets Technology Ltd, une société de technologie de reconnaissance faciale basée à Shenzhen.