Theo Gadget360, một tin tặc tuyên bố đã lấy được thông tin cá nhân của 48,5 triệu người dùng ứng dụng di động chăm sóc sức khỏe về COVID do thành phố Thượng Hải điều hành, đây là cáo buộc thứ hai về vi phạm dữ liệu của trung tâm tài chính Trung Quốc chỉ trong hơn một tháng.
Tin tặc có nickname “XJP” đã đăng một đề nghị bán dữ liệu với giá 4.000 USD trên diễn đàn tin tặc Breach Forums vào thứ Tư ngày 10/8. Người này đã cung cấp một mẫu dữ liệu có chứa số điện thoại, tên, số căn cước Trung Quốc và tình trạng mã số sức khỏe của 47 người.
“Cơ sở dữ liệu này chứa tất cả những người sống hoặc đến thăm Thượng Hải kể từ khi ứng dụng Suishenma được triển khai”, XJP cho biết trong bài đăng.
Reuters đã tiếp cận và xác nhận có 11 người có tên trong danh sách 47 người mà tin tặc công bố, tuy nhiên có 2 người nói rằng số căn cước của họ bị sai. Reuters đã không thể xác minh thêm tính xác thực trong tuyên bố của XJP. Có thể quy mô và bản chất thực sự của các loại tấn công dữ liệu này đôi khi bị người bán phóng đại quá mức nhằm kiếm lợi nhuận nhanh chóng.
Hơn 48 triệu người dùng ứng dụng sức khỏe Suishenma bị rao bán thông tin cá nhân.
Suishenma là tên tiếng Trung của hệ thống mã y tế của Thượng Hải, được thành phố 25 triệu dân thành lập vào đầu năm 2020 để chống lại sự lây lan của COVID-19. Tất cả người dân và du khách phải sử dụng nó khi đến Thượng Hải.
Dữ liệu do chính quyền thành phố quản lý và người dùng có thể truy cập Suishenma bằng cách tải xuống ứng dụng hoặc mở ứng dụng bằng ứng dụng Alipay, thuộc sở hữu của gã khổng lồ fintech và công ty con Ant Group của Alibaba và ứng dụng WeChat của Tencent.
Chính quyền Thượng Hải, Ant và Tencent chưa đưa ra câu trả lời khi được yêu cầu bình luận. XJP cũng từ chối bình luận trên Breach Forums khi được chất vấn.
Vụ vi phạm Suishenma xảy ra sau khi một tin tặc tuyên bố đã mua được 23TB thông tin cá nhân của 1 tỉ công dân Trung Quốc từ cảnh sát Thượng Hải vào tháng trước.
Về phía các cơ quan quản lý của Trung Quốc trong 2 năm qua đã công bố một loạt các quy định mới nhằm tăng cường giám sát đối với việc quản lý dữ liệu người dùng của khu vực tư nhân, sau nhiều năm người dân phàn nàn về việc dữ liệu cá nhân của họ có thể bị đánh cắp hoặc bán quá dễ dàng.