Skip to content
Cyber Breaches
Recherche
Fuite de donnéesunresolved

Fuite de la base de données de la police nationale de Shanghai

Une base de données exposée du Bureau de la sécurité publique de Shanghai a permis à un pirate connu sous le nom de « ChinaDan » de proposer 23 téraoctets de données sur environ 1 milliard de résidents chinois — noms, numéros de carte d'identité nationale, numéros de téléphone, adresses et dossiers d'affaires de police — pour 10 bitcoins, dans ce qui est largement considéré comme la plus grande fuite de données gouvernementale de l'histoire de la Chine.

Victime
Police nationale de Shanghai (Bureau de la sécurité publique de Shanghai)
données
1.00B
utilisateurs
1.00B
SecteurGouvernement
PaysChine
GroupeChinaDan (alias)

Début juillet 2022, un utilisateur anonyme se faisant appeler « ChinaDan » met en vente sur la place de marché Breach Forums un trésor de données de 23 téraoctets portant sur environ un milliard de résidents chinois, issu d'une base de données de la police nationale de Shanghai. Le prix demandé est de 10 bitcoins — soit environ 200 000 $ à l'époque. Si elle s'avère authentique dans son intégralité, cette fuite figure parmi les plus importantes jamais recensées et constitue la plus grande fuite connue d'un système gouvernemental chinois.

Ce qui s'est passé

Les données proviendraient du Bureau de la sécurité publique de Shanghai, hébergées sur un cloud privé. Des chercheurs en sécurité ont signalé que la base de données sous-jacente — bâtie sur un cluster Elasticsearch accessible via un tableau de bord d'administration — était restée accessible sur l'internet public sans mot de passe pendant plus d'un an. Les identifiants et le chemin d'accès auraient été exposés dans un billet de blog technique, permettant à quiconque le trouvait d'interroger et de télécharger le contenu.

Le vendeur a publié un échantillon de 750 000 enregistrements comme preuve. Des journalistes de Reuters, de la BBC et du Wall Street Journal ont appelé indépendamment des personnes figurant dans l'échantillon et confirmé que les noms, numéros d'identité et détails d'affaires correspondaient à de vraies personnes.

Impact

Les champs divulgués comprenaient :

  • Noms complets, numéros de carte d'identité nationale, lieux de naissance et adresses
  • Numéros de téléphone mobile
  • Dossiers d'affaires et signalements de police, y compris des résumés d'incidents nommant victimes et suspects

Comme les données combinaient des informations d'état civil avec des dossiers de police sensibles, l'exposition présentait un risque inhabituel : vol d'identité, fraude et ciblage de victimes de crimes, d'informateurs et de dissidents.

Réponse

Les autorités chinoises n'ont jamais reconnu publiquement la fuite. Les régulateurs ont au contraire cherché à étouffer la discussion : des hashtags tels que « #dataleak » et « #databreach » ont été bloqués sur Weibo, et les publications associées supprimées sur WeChat. Aucun résultat d'enquête officiel, poursuite ni notification aux citoyens concernés n'a été divulgué.

L'incident est survenu à un moment délicat, quelques mois seulement après l'entrée en vigueur de la loi sur la protection des informations personnelles (PIPL) et de la loi sur la sécurité des données, censées renforcer la protection de la vie privée — des lois qui contraignent les entreprises privées bien plus étroitement que les propres organes de sécurité de l'État.

Pourquoi c'est important

La fuite de Shanghai est l'exemple emblématique de données massives détenues par l'État exposées par une simple erreur de configuration. Une seule base de données non sécurisée a anéanti la vie privée d'une part substantielle du pays le plus peuplé du monde, démontrant que les archives de surveillance de masse constituent elles-mêmes des points de défaillance uniques de grande valeur. Le silence officiel a également mis en lumière une faille structurelle : le régime chinois de protection de la vie privée encadre rigoureusement les entreprises privées tout en offrant peu de recours aux citoyens lorsque ce sont les systèmes de l'État qui fuient.

Chronologie

  1. Des chercheurs en sécurité rapporteront plus tard que la base de données de la police de Shanghai était restée librement accessible en ligne pendant plus d'un an avant la fuite.

  2. Un utilisateur connu sous le nom de « ChinaDan » publie une annonce sur la place de marché Breach Forums proposant le jeu de données.

  3. L'offre de 23 téraoctets couvrant environ 1 milliard de résidents pour 10 bitcoins (environ 200 000 $) est largement relayée et commentée sur Weibo et WeChat.

  4. Les censeurs chinois bloquent des hashtags tels que « #dataleak » sur Weibo à mesure que la discussion se propage.

  5. Reuters, la BBC et d'autres vérifient des échantillons des données auprès des personnes concernées ; des experts qualifient l'incident de l'une des plus grandes fuites jamais survenues.

  6. Les autorités chinoises ne font aucune reconnaissance publique ; aucun résultat d'enquête officiel n'est divulgué.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/Shanghai_police_database_leak
  2. reuters.comhttps://www.reuters.com/world/china/data-leak-1-billion-chinese-tests-beijings-pledge-protect-privacy-2022-07-05/
  3. nbcnews.comhttps://www.nbcnews.com/tech/security/hacker-claims-stolen-1-bln-records-chinese-citizens-police-rcna36658
  4. theregister.comhttps://www.theregister.com/2022/07/05/shanghai_police_database_for_sell/
  5. rfa.orghttps://www.rfa.org/english/news/china/hacker-data-07042022105540.html/

Incidents liés

Fuite de donnéesRésolu

Fuite de données JD (2013)

En 2013 (date exacte inconnue), le service chinois de commerce électronique JD a subi une fuite de données qui a exposé 13 Go de données contenant 77 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes SHA-1.

Victim
JD
Records
77.4M
Fuite de donnéesRésolu

Fuite de données RailYatri (2022)

En décembre 2022, l'agence de voyage en ligne RailYatri, approuvée par le gouvernement indien, a subi une fuite de données. L'incident a touché plus de 31 millions de clients et exposé 23 millions d'adresses e-mail uniques. Étaient également concernés les noms, les sexes, les numéros de téléphone et les billets achetés, y compris les informations de voyage et les tarifs.

Victim
RailYatri
Records
23.2M
Fuite de donnéesRésolu

Affaire d'application de la sécurité des données contre Didi Global

Le régulateur chinois du cyberespace a infligé au géant du VTC Didi Global une amende de 8,026 milliards de RMB (environ 1,2 milliard de dollars) après qu'un examen d'un an a établi 16 violations de la loi sur la cybersécurité, de la loi sur la sécurité des données et de la loi sur la protection des informations personnelles, dont la collecte illégale de données de reconnaissance faciale, de localisation et de presse-papiers auprès de centaines de millions de passagers et de chauffeurs.

Victim
Didi Global
Loss
$1.20B
Fuite de donnéesEn cours

Fuite des dossiers étudiants de l'Université de Nottingham revendiquée par ShinyHunters (2026)

L'Université de Nottingham a confirmé un incident informatique après que le groupe d'extorsion ShinyHunters a affirmé avoir volé environ 40 Go de données de son système de dossiers étudiants, exposant quelque 455 000 adresses e-mail ainsi que des noms, numéros de passeport et informations de paiement des frais.

Victim
University of Nottingham
Records
455.0K