Un énorme chinois base de données stockant des millions de visages et de plaques d’immatriculation de véhicules a été laissée exposée sur Internet pendant des mois avant de disparaître tranquillement en août.
Alors que son contenu peut sembler banal pour la Chine, où la reconnaissance faciale est courante et la surveillance étatique omniprésente, la taille même de la base de données exposée est stupéfiante. À son apogée, la base de données contenait plus de 800 millions d’enregistrements, ce qui représente l’une des plus grandes failles de sécurité des données connues de l’année en termes d’échelle, après une fuite massive de données d’un milliard d’enregistrements d’une base de données de la police de Shanghai en juin. Dans les deux cas, les données ont probablement été exposées par inadvertance et à la suite d’une erreur humaine.
Les données exposées appartiennent à une société technologique appelée Xinai Electronics basée à Hangzhou sur la côte est de la Chine. L’entreprise construit des systèmes pour contrôler l’accès des personnes et des véhicules aux lieux de travail, aux écoles, aux chantiers de construction et aux parkings à travers la Chine. Son site Web vante son utilisation de la reconnaissance faciale à diverses fins au-delà de l’accès aux bâtiments, y compris la gestion du personnel, comme la paie, la surveillance de la présence et des performances des employés, tandis que son système de reconnaissance des plaques d’immatriculation des véhicules basé sur le cloud permet aux conducteurs de payer le stationnement dans des garages sans surveillance qui sont gérés par le personnel à distance.
C’est grâce à un vaste réseau de caméras que Xinai a amassé des millions d’empreintes faciales et de plaques d’immatriculation, dont son site Web affirme que les données sont « stockées en toute sécurité » sur ses serveurs.
Mais ce n’était pas le cas.
Chercheur en sécurité Anurag Sen a trouvé la base de données exposée de l’entreprise sur un serveur hébergé par Alibaba en Chine et a demandé l’aide de actu blog pour signaler la faille de sécurité à Xinai.
Sen a déclaré que la base de données contenait une quantité alarmante d’informations qui augmentait rapidement de jour en jour, et comprenait des centaines de millions d’enregistrements et d’adresses Web complètes de fichiers images hébergés sur plusieurs domaines appartenant à Xinai. Mais ni la base de données ni les fichiers images hébergés n’étaient protégés par des mots de passe et ne pouvaient être consultés à partir du navigateur Web par quiconque savait où chercher.
La base de données comprenait des liens vers des photos haute résolution de visages, y compris des ouvriers du bâtiment entrant sur des chantiers de construction et des visiteurs de bureau s’enregistrant, et d’autres informations personnelles, telles que le nom, l’âge et le sexe de la personne, ainsi que des numéros d’identification de résident, qui sont la réponse de la Chine à cartes d’identité nationales. La base de données contenait également des enregistrements des plaques d’immatriculation des véhicules collectées par les caméras Xinai dans les parkings, les allées et autres points d’entrée des bureaux.
actu blog a envoyé plusieurs messages concernant la base de données exposée à des adresses e-mail connues pour être associées au fondateur de Xinai, mais nos e-mails n’ont pas été renvoyés. La base de données n’était plus accessible à la mi-août.
Mais Sen n’est pas la seule personne à avoir découvert la base de données alors qu’elle était exposée. Une note de rançon non datée laissée par un extorqueur de données a affirmé avoir volé le contenu de la base de données, qui a déclaré qu’il restaurerait les données en échange de quelques centaines de dollars de crypto-monnaie. On ne sait pas si l’extorqueur a volé ou supprimé des données, mais l’adresse de la blockchain laissée dans la note de rançon montre qu’il n’a pas encore reçu de fonds.
L’État de surveillance chinois s’étend profondément dans le secteur privé, donnant à la police et aux autorités gouvernementales un accès et des capacités presque sans entraves pour suivre les personnes et les véhicules à travers le pays. La Chine utilise la reconnaissance faciale pour suivre sa vaste population dans les villes intelligentes, mais utilise également la technologie pour la surveillance de masse des populations minoritaires que Pékin est depuis longtemps accusée d’opprimer.
L’année dernière, la Chine a adopté la loi sur la protection des informations personnelles, sa première loi complète sur la protection des données qui est considérée comme l’équivalent chinois des règles européennes de confidentialité GDPR, qui vise à limiter la quantité de données que les entreprises collectent, mais exempte largement la police et les agences gouvernementales qui composent Le vaste État de surveillance de la Chine.
Mais maintenant, avec deux expositions massives de données ces derniers mois, le gouvernement chinois et les entreprises technologiques se retrouvent mal équipés pour protéger la grande quantité de données que leurs systèmes de surveillance collectent.