Diễn đàn an ninh mạng HackenProof của châu Âu đã phát hiện ra lỗi bảo mật khủng khiếp này. Đây là một trong những vụ rò rỉ thông tin lớn nhất có liên quan tới dữ liệu của Trung Quốc.
Bob Diachenko, nhà nghiên cứu an ninh của HackenProof có trụ sở đặt tại Ukraine, đã phát hiện ra trang chủ dữ liệu để ngỏ, không được bảo vệ này có chứa tới hồ sơ xin việc của hơn 202 triệu người dùng Trung Quốc hôm 28/12, thế nhưng anh mới công bố thông tin đó hồi tuần này. Các hồ sơ xin việc này bao gồm các thông tin nhạy cảm như tên tuổi, số điện thoại, tình trạng hôn nhân tới quan hệ chính trị.
Theo Diachenko, người đã cung cấp bản chụp màn hình những phát hiện của mình thông qua hai công cụ tìm kiếm dữ liệu, những dữ liệu này đặt tại Mỹ có dung lượng 854 Gb và bao gồm tổng cộng hơn 202 triệu hồ sơ.
Bốn chuyên gia an ninh cho biết, sự rò rỉ tài liệu theo mô tả của Diachenko nghe có vẻ hợp lý. Jane Wong, một blogger công nghệ đã từng phát hiện ra những đặc tính ẩn trên các nền tảng Internet lớn như Facebook và Instagram cho biết: “ Nó cũng giống như một người nào đó để quên điện thoại của mình ở nơi công cộng mà không có mật khẩu bảo vệ”.
Diachenko cho biết, cơ sở dữ liệu này để mở trên mạng từ ngày 23-28/12, nhưng sau khi bị anh phát hiện và đăng trên Twitter thì nó chuyển ngay sang chế độ offline ( không online nữa). Ít nhất hàng chục địa chỉ IP đã tải dữ liệu này về.
Theo Diachenko, rất có thể một công cụ quét trực tuyến được sử dụng trong trường hợp này để trích xuất dữ liệu từ các cổng thông tin việc làm Trung Quốc, bao gồm cả trangweb trò chơi trực tuyến hàng đầu 58.com.
Diachenko cho biết, không rõ đó là một ứng dụng chính thức hay bất hợp pháp được sử dụng để thu thập tất cả các chi tiết của người nộp đơn, ngay cả khi những người dùng dán nhãn “riêng tư”.
Trả lời câu hỏi của Diachenko, nhóm bảo mật của 58.com đã phủ nhận rằng dữ liệu đã bị rò rỉ từ máy chủ của họ, nhưng thừa nhận rằng có khả năng nó được thực hiện từ máy quét của bên thứ ba. Một nhân viên của trang 58.com cho biết, không có bất kỳ hồ sơ việc làm nào bị rò rỉ trên nền tảng của họ.
Đây không phải là vụ rò rỉ dữ liệu người dùng Trung Quốc đầu tiên. Hồi tháng 8 vừa qua, thông tin chi tiết của 130 triệu khách hàng của một nhà điều hành khách sạn có trụ sở tại Thượng Hải đã được rao bán trên web đen với giá 8 bitcoin. Hồi tháng 5, hàng vạn người dùng đã bị rò rỉ dữ liệu từ ứng dụng giao thức ăn Meituan.
Luật pháp Trung Quốc cấm xuất bản thông tin cá nhân bất hợp pháp, nhưng vẫn chưa có bất kỳ trách nhiệm rõ ràng nào đối với các cơ quan chính phủ. Các nhà lập pháp Trung Quốc đang kêu gọi một dự luật cụ thể để bảo vệ quyền riêng tư của dữ liệu. Tại châu Âu, Quy định bảo vệ dữ liệu chung (GDPR) mới nhất có hiệu lực vào tháng 5 năm 2018, bao gồm tất cả các doanh nghiệp liên quan đến dữ liệu của công dân EU.
Các chuyên gia bảo mật cho rằng, việc trích xuất dữ liệu bất chấp sự cho phép của người dùng cá nhân có thể là bất hợp pháp, nếu thông tin được sử dụng theo bất kỳ cách nào đi ngược lại lợi ích tốt nhất của chủ sở hữu. Họ cho rằng, đừng nghĩ đơn giản rằng đây chỉ là sơ yếu lý lịch, mà rất có thể nó sẽ được sử dụng cho các mục đích khác.
