Um suposto grupo de cibercriminosos chineses afirma ter conseguido uma verdadeira montanha de dados dos moradores do país. Mais exatamente 23 terabytes de informações pessoais que teriam sido roubadas da Polícia de Xangai (China). E, se isso realmente aconteceu, o grupo ChinaDan merece palmas lentas pela audácia (não pelo crime cometido, obviamente).
O montante de dados roubados incluiria nomes, endereços, locais de nascimento, documentos de identidade, números de telefone e informações de casos penais de mais de 1 bilhãor de habitantes de Shanghai. Ou seja, é um volume de dados tão grande, que poderia ser considerado o maior roubo de dados da história da China.
E o mais inacreditável de tudo isso é que todos esses dados foram oferecidos em um fórum da Dark Web e foram vendidos por “apenas” 10 bitcoins. Pode parecer pouco para os usuários mais leigos, mas na cotação de hoje, são mais de 190 mil euros.
Uma baita grana.
Um preocupante problema de segurança nacional
Estamos falando de uma montanha de dados que pode resultar em uma enorme variedade de práticas fraudulentas, que vão desde ataques de suplantação de identidade ou phishing até o SIM swapping. Sem falar na exposição dos dados pessoais das vítimas por si. Logo, isso passa bem longe do roubo da conta do WhatsApp do seu tio ou da exposição dos e-mails dos moradores do seu prédio.
A autenticidade do vazamento ainda não foi confirmada, já que o pessoal do ChinaDan não apresenta provas que possui os dados. Só uma captura de tela como possível evidência. De qualquer forma, estamos falando de Xangai, um dos núcleos financeiros do mundo, e esse detalhe também motiva a polícia local a tratar o assunto com a atenção merecida.
Mesmo assim, nenhuma autoridade ou órgão responsável por cuidar de um vazamento como esse confirma o vazamento. Até porque a China tradicionalmente não reconhece publicamente que esse tipo de incidente acontece. Por exemplo, em 2020, a rede social Weibo afirmou que foi vítima de um vazamento de dados de mais de 538 milhões de seus usuários, mas as autoridades do país ficaram em silencio.
No meio da confusão, aparece um novo personagem
Enquanto isso, o CEO da Binance, Changpeng Zhao, revelou que a divisão de sua empresa encarregada de prevenir ameaças de segurança informática detectou a venda de dados de 1 bilhão de residentes “de um país asiático” na Dark Web. E acredito que você não precisa ser um especialista em geografia ou densidade demográfica para ligar as pontas e concluir rapidamente sobre qual país que ele estava se referindo.
Ou melhor, que essa informação pode estar diretamente relacionada com o vazamento supostamente patrocinado pelo ChinaDan.
Zhao ainda revelou que o vazamento poderia ter acontecido por conta de “um erro em uma implementação do Elastic Search (um servidor de buscas de código aberto desenvolvido em Java utilizado por muitos aplicativos web ao redor do mundo) por parte de uma agência governamental”. Pode ser uma baita de uma indireta para a China que, no lugar de gastar algum dinheiro em uma solução paga e mais avançada, optou pelo caminho mais fácil e, mesmo assim, não conseguiu fazer o negócio direito.
Sim, pois o problema foi de IMPLEMENTAÇÃO do sistema, e não pelo fato do sistema ser gratuito ou de código aberto.
Dá pra dizer que Zhao está jogando um arco-íris de energia no ar que conecta uma coisa com a outra, mas sem evidências ou provas, nada pode ser dado como certo. Na prática, não existem muitas informações sobre o assunto, e tudo é encarado nesse momento como uma enorme nuvem de rumores e especulações.
Por outro lado, se o vazamento for comprovado, ele não só se torna automaticamente um dos maiores incidentes de segurança informática da história da China (se não for o maior), como também se torna um dos mais sérios do mundo, além de abrir um grande ponto de reflexão sobre a eficiência dos sistemas de segurança deste país.
Algo que é, no mínimo, algo curioso.
Logo a China?
Eu sou obrigado a terminar este post com alguns pontos de observação sobre o tema, mesmo correndo o risco de perder o meu tempo de forma inacreditável com um assunto que, neste momento, está mais para um rumor em forma de fanfic do que uma realidade efetiva de um grande incidente cibernético.
Logo a toda poderosa China vai ser a protagonista de um grande vazamento de dados? Logo este país que é constantemente acusado de coletar dados de cidadãos de outros países (através do TikTok, inclusive – o que poderia muito bem ser encarada como uma grande teoria da conspiração com grandes doses de paranoia muito bem fundamentada) se mostrando tão frágil nos seus aspectos de segurança?
O que foi que aconteceu aqui, Xangai?
Vocês dormiram no ponto? Contrataram o sobrinho-neto da Dona Dulce para ser o garoto do TI da Polícia de Xangai? Deixou esse mesmo moleque do TI bebendo Gatorade com caipirinha ao longo de todo o final de semana?
O que foi que deu errado aqui, China?
Fica realmente difícil de engolir que esse verdadeiro Monte Everest de dados dos cidadãos de uma das regiões mais populosas do planeta tenha acabado como objeto de venda na Dark Web por uma metafórica “ninharia” de dinheiro. Apenas 190 mil euros por mais de 1 bilhão de registros de cidadãos? Não seria uma quantia irrisória de dinheiro para um volume tão grande de informações?
É… de fato, essa história está muito mal contada. Não duvido que os dados tenham realmente vazado da Polícia de Xangai. Só levanto dúvidas sobre a forma em que esses dados “vazaram” (alguém pode ter facilitado o processo), o valor pago por esses dados e o real objetivo para esse vazamento.
Quem sabe o tempo se encarrega de esclarecer o que realmente aconteceu aqui.