Un hacker ofrece vender los datos de 48,5 millones de usuarios de la aplicación COVID de Shanghai

Un pirata informático ha afirmado haber obtenido la información personal de 48,5 millones de usuarios de una aplicación móvil de código sanitario COVID gestionada por la ciudad de Shanghái, lo que supone la segunda denuncia de una violación de los datos del centro financiero chino en poco más de un mes.

El hacker, cuyo nombre de usuario es "XJP", publicó el miércoles una oferta para vender los datos por 4.000 dólares en el foro de hackers Breach Forums.

El hacker proporcionó una muestra de los datos que incluía los números de teléfono, los nombres y los números de identificación chinos y el estado del código sanitario de 47 personas.

Once de los 47 contactados por Reuters confirmaron que figuraban en la muestra, aunque dos dijeron que sus números de identificación eran erróneos.

"Esta DB (base de datos) contiene a todas las personas que viven o han visitado Shanghái desde la adopción de Suishenma", dijo XJP en el post, que originalmente pedía 4.850 dólares antes de rebajar el precio más tarde.

Suishenma es el nombre chino del sistema de códigos sanitarios de Shanghái, que la ciudad de 25 millones de habitantes, como muchas otras en toda China, estableció a principios de 2020 para combatir la propagación del COVID-19. Todos los residentes y visitantes tienen que utilizarlo.

La aplicación recoge los datos de los viajes para dar a las personas una calificación roja, amarilla o verde que indica la probabilidad de tener el virus y los usuarios tienen que mostrar el código para entrar en los lugares públicos.

Los datos son gestionados por el gobierno de la ciudad y los usuarios acceden a Suishenma a través de la aplicación Alipay, propiedad del gigante de la tecnología financiera y filial de Alibaba, Ant Group, y de la aplicación WeChat de Tencent Holdings.

XJP, el gobierno de Shanghái, Ant y Tencent no respondieron inmediatamente a las solicitudes de comentarios.

La supuesta brecha de Suishenma se produce después de que un hacker dijera a principios del mes pasado que había conseguido 23 terabytes de información personal perteneciente a mil millones de ciudadanos chinos de la policía de Shanghai.

Ese hacker también ofreció vender los datos en Breach Forums.

El Wall Street Journal, citando a investigadores de ciberseguridad, dijo que el primer pirata informático había podido robar los datos de la policía porque un tablero de control para la gestión de una base de datos de la policía se había dejado abierto en la Internet pública sin protección por contraseña durante más de un año.

El periódico dijo que los datos estaban alojados en la plataforma en la nube de Alibaba y que las autoridades de Shanghái habían convocado a los ejecutivos de la empresa por el asunto.

Ni el gobierno de Shanghái, ni la policía ni Alibaba han comentado el asunto de la base de datos policial.