Een hacker beweert de persoonlijke gegevens te hebben verkregen van 48,5 miljoen gebruikers van een mobiele gezondheidsapp van COVID van de stad Shanghai, de tweede bewering van een inbreuk op de gegevens van het Chinese financiële centrum in iets meer dan een maand tijd.

De hacker met de gebruikersnaam "XJP" plaatste woensdag een aanbod om de gegevens te verkopen voor 4.000 dollar op het hackerforum Breach Forums.

De persoon verstrekte een voorbeeld van de gegevens, waaronder de telefoonnummers, namen en Chinese identificatienummers en gezondheidscodestatus van 47 mensen.

Elf van de 47 door Reuters bereikte personen bevestigden dat zij in de steekproef waren opgenomen, hoewel twee zeiden dat hun identificatienummers niet klopten. Reuters kon de authenticiteit van de bewering van de hacker niet verder verifiëren.

De ware omvang en aard van dit soort datahacks wordt soms overdreven door de verkoper in een poging om snel winst te maken.

"Deze DB (database) bevat iedereen die in Shanghai woont of er is geweest sinds de adoptie van Suishenma," zei XJP in het bericht, waarin oorspronkelijk $4.850 werd gevraagd voordat de prijs later op de dag werd verlaagd.

Suishenma is de Chinese naam voor het gezondheidscodesysteem van Shanghai, dat de stad met 25 miljoen inwoners begin 2020 heeft ingesteld om de verspreiding van COVID-19 tegen te gaan. Alle inwoners en bezoekers moeten het gebruiken.

De app verzamelt reisgegevens om gebruikers een rode, gele of groene beoordeling te geven die aangeeft hoe groot de kans is dat ze het virus hebben. De code moet worden getoond om openbare gelegenheden te betreden.

De gegevens worden beheerd door het stadsbestuur en gebruikers hebben toegang tot Suishenma door de app te downloaden of te openen via de Alipay-app, die eigendom is van fintechgigant en aan Alibaba gelieerde Ant Group, en de WeChat-app van Tencent Holdings.

De regering van Shanghai, Ant en Tencent reageerden niet onmiddellijk op verzoeken om commentaar. XJP weigerde commentaar toen het werd bereikt op Breach Forums.

"Ik ben nog niet klaar om vragen te beantwoorden, want ik heb nog veel meer te laten vallen," zei XJP.

De vermeende inbreuk op Suishenma komt nadat een hacker vorige maand beweerde 23 terabytes aan persoonlijke informatie van een miljard Chinese burgers te hebben buitgemaakt bij de politie van Shanghai.

Die hacker bood ook aan de gegevens te verkopen op Breach Forums.

De eerste hacker kon gegevens van de politie stelen omdat een dashboard voor het beheer van een politiedatabase meer dan een jaar lang zonder wachtwoordbeveiliging op het openbare internet was opengelaten, meldde de Wall Street Journal, die zich baseerde op onderzoekers op het gebied van cyberveiligheid.

Volgens de krant werden de gegevens gehost op het cloudplatform van Alibaba en hadden de autoriteiten van Shanghai leidinggevenden van het bedrijf ontboden in verband met de zaak.

Noch de regering van Shanghai, noch de politie, noch Alibaba hebben commentaar gegeven op de kwestie van de politiedatabase.

Chinese regelgevende instanties hebben de afgelopen twee jaar een spervuur van nieuwe regels aangekondigd om het toezicht op het beheer van gebruikersgegevens door de particuliere sector te versterken, na jarenlange klachten van inwoners over hoe hun persoonlijke gegevens gemakkelijk konden worden gestolen of verkocht.

Een screenshot van het aanbod van XJP op Breach Forums ging vrijdag viral op de Chinese sociale media, waardoor verschillende Weibo-gebruikers hun mening gaven over dit nieuwste lek en de bredere implicaties ervan, en zich afvroegen welke maatregelen zouden worden genomen.

"Datalekken in China zijn echt geen ongewoon nieuws meer," zei er een. (Verslaggeving door Eduardo Baptista en de nieuwsredactie in Shanghai; geschreven door Brenda Goh; bewerkt door Robert Birsel, Mike Harrison en Mark Potter)