Een gebruiker van hackerforum Breach Forums beweert de database van het Shanghaise gezondheidssysteem in handen te hebben. Volgens de gebruiker bevat de database persoonsgegevens van 48,5 miljoen inwoners en bezoekers.
De gebruiker staat op Breach Forums bekend als ‘XJP’. De gebruiker bood de database onlangs op het hackerforum aan. Volgens de gebruiker is de database afkomstig van Suishenma, de Chinese naam voor het gezondheidssysteem van Shanghai. Het systeem wordt sinds begin 2020 door alle inwoners en bezoekers van de stad gebruikt.
De hacker bood de database aanvankelijk voor 4.850 dollar aan. De prijs werd later verlaagd naar 4.000 dollar. “Deze database bevat iedereen die sinds de adoptie van Suishenma in Shanghai woont of is geweest”, schreef de gebruiker in de advertentie.
Voorproef
Volgens Reuters deelde de gebruiker een voorproef van 47 personen als bewijs voor het datalek. De proef bevatte namen, Chinese identificatienummers, telefoons en gezondheidsgegevens. Reuters bevestigde de identiteit van 11 van de 47 personen. Twee personen voegden toe dat hun identificatienummers niet klopten.
De voorproef is geen bewijs voor het datalek. De vraagprijs van 4.000 dollar is opvallend laag voor een datalek van deze grootte. Het is mogelijk dat de gebruiker over de persoonsgegevens van Shanghaise inwoners beschikt, maar de schaal en oorzaak van het datalek zijn onbekend.
Suishenma
Suishenma is sinds begin 2020 verplicht voor alle inwoners van Shanghai. De stad heeft ongeveer 25 miljoen inwoners. Het systeem verzamelt reisgegevens en berekent de kans die een persoon heeft om COVID-19 op te lopen. De kans wordt aangekaart met een kleurcode. Inwoners moeten de kleurcode tonen wanneer ze openbare locaties bezoeken.
Gebruikers krijgen toegang tot Suishenma via de Alipay app. Volgens Reuters worden de gebruikersgegevens beheerd door de overheid van Shanghai. Reuters vroeg de overheid om een reactie, maar kreeg geen commentaar.
Tip: Cloud security is continu in ontwikkeling, tijd voor een update