Đây được coi là vụ rò rỉ dữ liệu cá nhân lớn nhất từng được ghi nhận, đe dọa quyền riêng tư của hàng triệu người, chủ yếu là công dân Trung Quốc.
Các nhà nghiên cứu tại Cybernews, phối hợp với chuyên gia bảo mật từ SecurityDiscovery.com, đã phát hiện một cơ sở dữ liệu khổng lồ không được bảo vệ bằng mật khẩu được công bố trên mạng. Dữ liệu bị rò rỉ ước tính lên tới 631GB, tương đương khoảng 4 tỷ bản ghi thông tin cá nhân nhạy cảm.
Theo nhóm nghiên cứu, phần lớn dữ liệu trong cơ sở này liên quan đến người dùng Trung Quốc, được thu thập từ nhiều nguồn khác nhau. Họ nhận định rằng cơ sở dữ liệu này có thể đã được xây dựng một cách có hệ thống và kỹ lưỡng, nhằm mục đích xây dựng hồ sơ hành vi, kinh tế và xã hội toàn diện về hầu hết công dân tại Trung Quốc.
Các chuyên gia nghi ngờ rằng đây có thể là một phần trong dự án giám sát có quy mô lớn. Với khối lượng dữ liệu khổng lồ như vậy, tin tặc hoặc các bên xấu có thể lợi dụng để tấn công lừa đảo, đánh cắp danh tính, lừa đảo tài chính hoặc thậm chí tống tiền.
“Khối lượng dữ liệu và sự đa dạng về loại thông tin bị rò rỉ cho thấy đây có thể là một điểm trung tâm lưu trữ dữ liệu, được duy trì nhằm phục vụ mục đích giám sát, phân tích hồ sơ cá nhân hoặc làm giàu dữ liệu,” nhóm nghiên cứu cảnh báo.
Cơ sở dữ liệu bị rò rỉ bao gồm nhiều loại thông tin nhận dạng cá nhân (PII) như họ tên đầy đủ, ngày tháng năm sinh, số điện thoại, cũng như thông tin tài chính bao gồm số thẻ ngân hàng, thông tin về nợ nần, tiết kiệm và thói quen chi tiêu.
Trong số các nguồn dữ liệu bị rò rỉ, đáng chú ý nhất là: WeChat – nền tảng nhắn tin phổ biến nhất tại Trung Quốc, với hơn 805 triệu bản ghi bị lộ; Một bộ sưu tập dữ liệu cư trú có chứa định danh địa lý với khoảng 780 triệu bản ghi; Một phần dữ liệu có tên gọi “bank” (ngân hàng), chứa khoảng 630 triệu bản ghi, chủ yếu liên quan đến thông tin tài chính và dữ liệu cá nhân.
Nếu xác nhận đúng quy mô như báo cáo, đây sẽ là vụ rò rỉ dữ liệu lớn nhất từng được ghi nhận, vượt hơn 1 tỷ bản ghi so với vụ rò rỉ dữ liệu công khai quốc gia (National Public Data breach) – từng được coi là một trong những vụ vi phạm dữ liệu lớn nhất lịch sử.
Mặc dù cơ sở dữ liệu đã được gỡ xuống nhanh chóng sau khi bị phát hiện, nhưng không rõ đã tồn tại bao lâu trên mạng. Điều này đặt ra mối lo ngại lớn về việc thông tin cá nhân nhạy cảm có thể đã bị truy cập, khai thác hoặc sao lưu trước đó.
