De anonieme internetgebruiker, geïdentificeerd als "ChinaDan", postte vorige week op het hackersforum Breach Forums en bood aan de meer dan 23 terabytes (TB) aan gegevens te verkopen voor 10 bitcoin, wat overeenkomt met ongeveer 200.000 dollar.
"In 2022 werd de database van de Shanghai National Police (SHGA) gelekt. Deze database bevat vele TB aan gegevens en informatie over miljarden Chinese burgers," aldus het bericht.
"De databases bevatten informatie over 1 Miljard inwoners van China en enkele miljarden zaken, waaronder: naam, adres, geboorteplaats, nationaal ID-nummer, mobiel nummer, alle details van misdrijven/zaken."
Reuters kon de echtheid van het bericht niet verifiëren.
De regering en de politie van Shanghai reageerden maandag niet op verzoeken om commentaar.
Reuters kon ook de zelfverklaarde hacker, ChinaDan, niet bereiken, maar het bericht werd in het weekend uitgebreid besproken op de Chinese sociale media platformen Weibo en WeChat.
De hashtag "datalek" werd zondagmiddag op Weibo geblokkeerd.
Kendra Schaefer, hoofd technisch beleidsonderzoek bij het in Beijing gevestigde adviesbureau Trivium China, zei in een bericht op Twitter dat het "moeilijk was om waarheid en geruchtenmolen te scheiden".
Als het materiaal dat de hacker beweerde te hebben afkomstig was van het Ministerie van Openbare Veiligheid, zou dat om "een aantal redenen" slecht zijn, aldus Schaefer.
"Het meest voor de hand liggend is dat het een van de grootste en ergste inbreuken in de geschiedenis zou zijn," zei ze.
Zhao Changpeng, CEO van Binance, zei maandag dat de cryptocurrency exchange het verificatieproces van gebruikers had opgevoerd nadat de threat intelligence van de exchange de verkoop van records van 1 miljard inwoners van een Aziatisch land op het dark web had ontdekt.
Hij zei op Twitter dat een lek kon zijn ontstaan door "een bug in een inzet van Elastic Search door een (overheids)instantie", zonder te zeggen of hij doelde op de politiezaak in Shanghai.
Hij postte later op de dag opnieuw op Twitter en zei: "blijkbaar gebeurde deze exploit omdat de gov-ontwikkelaar een tech blog schreef op CSDN en per ongeluk de credentials opnam", verwijzend naar het China Software Developer Network.
Softwarebedrijf Elastic zei dat het onjuist was om haar als bron van de inbreuk aan te wijzen. De regering van Shanghai reageerde niet onmiddellijk op een verzoek om commentaar op woensdag.
De bewering over een hack komt op een moment dat China heeft gezworen de bescherming van de privacy van online gebruikersgegevens te verbeteren en zijn techgiganten heeft opgedragen te zorgen voor veiliger opslag na klachten van het publiek over wanbeheer en misbruik.
Vorig jaar heeft China nieuwe wetten aangenomen die bepalen hoe persoonlijke informatie en gegevens die binnen zijn grenzen worden gegenereerd, moeten worden behandeld. (Verslaggeving door Brenda Goh, Sophie Yu, Stella Qiu, Eduardo Baptista en Josh Ye; Redactie door Robert Birsel)
