Hacker's Dictionary

Hackerata l’app anti-Covid cinese

Il server che li conteneva è stato scoperto senza protezione crittografica e senza password durante alcuni controlli di routine.
Secondo il giornale online Threatpost, il tesoretto di più di 400 GB di dati conteneva profili pubblici e privati, relativi a 214 milioni di persone, utenti di social media di tutto il mondo, inclusi dettagli personali di celebrità e influencer.

Il ‘dataleak’, la fuga di informazioni, sarebbe stata possibile a causa della cattiva configurazione di un database della SocialArks, specializzata in marketing diretto e gestione dei social media che conteneva informazioni personali. Perché ce li aveva? È il suo lavoro. SocialArks si autodefinisce come una società di gestione globale di social media “dedicata alla risoluzione alla costruzione del marchio, al marketing e alla gestione dei clienti social nel settore del commercio estero cinese”.

Come avrebbe ottenuto questi dati? Attraverso un processo di web data scraping, una procedura di raccolta dati via software, lecita ma poco etica. I dati raccolti includono quasi 12 milioni di profili utente Instagram; 66 milioni di profili utente LinkedIn; 81milioni di profili utente Facebook. Biografie, immagini del profilo, impostazioni della posizione, indirizzi e-mail e numeri di telefono, numero di follower, numero di commenti, hashtag più usati, posizione lavorativa e altro.

Anche quando ci fidiamo delle società a cui li diamo senza pensarci la regola è di non pubblicare mai dati sensibili e limitare le informazioni che pubblichiamo perché non sappiamo mai veramente l’uso che potrà esserne fatto.
Ma in questo caso il database sprotetto includeva perfino dati che gli utenti mantenevano privati: una manna per i delinquenti che realizzano attacchi di social engineering, per il furto di identità e le frodi finanziarie.

Anche l’app anti-Covid del governo cinese è stata violata e i dati personali e le foto delle celebrità presenti nei suoi database sono stati messi all’asta per il prezzo di una lattina di Coca-Cola. Gli hacker hanno rubato e messo in vendita le informazioni di migliaia di attori e cantanti, inclusi i risultati dei loro test Covid-19 e gli appuntamenti sanitari, compresi quelli di un noto gruppo pop cinese chiamato Teens in Times.

L’app raccoglieva dati sulla posizione e altre informazioni personali sui suoi cittadini dall’inizio della pandemia. Per ora si parla di 30 milioni di utenti interessati a cui erano stati assegnati i codici rosso, giallo o verde, cioè quarantena, autoisolamento e libertà. L’app era “facilmente hackerabile”. Bastava inserire il nome completo di una persona e il numero della carta d’identità per accedere ai risultati dei test, alle foto utilizzate per il riconoscimento facciale e ai dettagli sanitari.
In Cina, la vendita di queste foto è una pratica ben nota, in fiorenti reti clandestine.