Hacker biedt aan om gegevens van 48,5 miljoen gebruikers van Shanghai's COVID app te verkopen

Een hacker heeft beweerd de persoonlijke gegevens te hebben bemachtigd van 48,5 miljoen gebruikers van een mobiele COVID-app voor gezondheidscodes die door de stad Shanghai wordt beheerd, de tweede bewering van een inbreuk op de gegevens van de Chinese financiële hub in iets meer dan een maand tijd.

De hacker met de gebruikersnaam als "XJP" plaatste woensdag een aanbod om de gegevens voor $4.000 te verkopen op het hackersforum Breach Forums.

De hacker verstrekte een monster van de gegevens, waaronder de telefoonnummers, namen en Chinese identificatienummers en gezondheidscodestatus van 47 mensen.

Elf van de 47 door Reuters bereikte personen bevestigden dat zij in de steekproef waren opgenomen, hoewel twee zeiden dat hun identificatienummers verkeerd waren.

"Deze DB (database) bevat iedereen die in Shanghai woont of Shanghai bezocht heeft sinds Suishenma's adoptie," zei XJP in de post, die oorspronkelijk om $4.850 vroeg, alvorens de prijs later op de dag te verlagen.

Suishenma is de Chinese naam voor het gezondheidscodesysteem van Shanghai, dat de stad met 25 miljoen inwoners, zoals vele in heel China, begin 2020 heeft ingesteld om de verspreiding van COVID-19 tegen te gaan. Alle inwoners en bezoekers moeten het gebruiken.

De app verzamelt reisgegevens om mensen een rode, gele of groene beoordeling te geven die aangeeft hoe groot de kans is dat ze het virus hebben, en gebruikers moeten de code laten zien om openbare gelegenheden binnen te gaan.

De gegevens worden beheerd door het stadsbestuur en gebruikers krijgen toegang tot Suishenma via de Alipay-app, die eigendom is van fintechgigant en Alibaba-filiaal Ant Group, en de WeChat-app van Tencent Holdings.

XJP, de regering van Shanghai, Ant en Tencent reageerden niet onmiddellijk op verzoeken om commentaar.

De vermeende inbraak bij Suishenma komt nadat een hacker begin vorige maand zei dat hij 23 terabytes aan persoonlijke informatie van een miljard Chinese burgers van de politie van Shanghai had bemachtigd.

Die hacker bood ook aan de gegevens te verkopen op Breach Forums.

De Wall Street Journal, die cyberbeveiligingsonderzoekers citeerde, zei dat de eerste hacker de gegevens van de politie had kunnen stelen, omdat een dashboard voor het beheer van een politiedatabase meer dan een jaar lang zonder wachtwoordbeveiliging op het openbare internet was opengelaten.

De krant zei dat de gegevens gehost werden op het cloud-platform van Alibaba en dat de autoriteiten van Shanghai leidinggevenden van het bedrijf over de zaak hadden gedagvaard.

Noch de regering van Shanghai, noch de politie, noch Alibaba hebben commentaar gegeven op de zaak van de politiedatabank.