Hacker bietet Daten von 48,5 Millionen Nutzern der Shanghaier COVID-App zum Verkauf an

Ein Hacker hat behauptet, die persönlichen Daten von 48,5 Millionen Nutzern einer von der Stadt Shanghai betriebenen mobilen COVID-Gesundheitscode-App erlangt zu haben. Dies ist bereits der zweite Fall eines Datenverstoßes in der chinesischen Finanzmetropole innerhalb von etwas mehr als einem Monat.

Der Hacker mit dem Benutzernamen "XJP" hat am Mittwoch im Hackerforum Breach Forums ein Angebot zum Verkauf der Daten für 4.000 Dollar veröffentlicht.

Der Hacker stellte eine Probe der Daten zur Verfügung, die die Telefonnummern, Namen und chinesischen Identifikationsnummern sowie den Gesundheitsstatus von 47 Personen enthielt.

Elf der 47 Personen, die von Reuters erreicht wurden, bestätigten, dass sie in der Stichprobe aufgeführt waren, obwohl zwei sagten, ihre Identifikationsnummern seien falsch.

"Diese DB (Datenbank) enthält alle Personen, die seit der Adoption von Suishenma in Shanghai leben oder Shanghai besucht haben", so XJP in dem Posting, in dem ursprünglich 4.850 Dollar verlangt wurden, bevor der Preis später am Tag gesenkt wurde.

Suishenma ist der chinesische Name für Shanghais Gesundheitscode-System, das die 25-Millionen-Einwohner-Stadt, wie viele andere Städte in China, Anfang 2020 eingeführt hat, um die Ausbreitung von COVID-19 zu bekämpfen. Alle Einwohner und Besucher müssen es benutzen.

Die App sammelt Reisedaten, um Personen eine rote, gelbe oder grüne Einstufung zu geben, die die Wahrscheinlichkeit angibt, dass sie das Virus haben, und die Benutzer müssen den Code vorzeigen, um öffentliche Einrichtungen zu betreten.

Die Daten werden von der Stadtverwaltung verwaltet und die Nutzer greifen auf Suishenma über die Alipay-App, die dem Finanzriesen und Alibaba-Tochterunternehmen Ant Group gehört, und die WeChat-App der Tencent Holdings zu.

XJP, die Regierung von Shanghai, Ant und Tencent reagierten nicht sofort auf Anfragen nach einem Kommentar.

Der angebliche Einbruch bei Suishenma erfolgte, nachdem ein Hacker Anfang letzten Monats behauptet hatte, er habe 23 Terabyte persönlicher Daten von einer Milliarde chinesischer Bürger von der Polizei in Shanghai erlangt.

Dieser Hacker bot auch an, die Daten auf Breach-Foren zu verkaufen.

Das Wall Street Journal berichtete unter Berufung auf Cybersicherheitsforscher, dass der erste Hacker die Daten von der Polizei stehlen konnte, da ein Dashboard zur Verwaltung einer Polizeidatenbank mehr als ein Jahr lang ohne Passwortschutz im öffentlichen Internet offen gelassen worden war.

Die Zeitung berichtete, dass die Daten auf der Cloud-Plattform von Alibaba gehostet wurden und dass die Behörden von Shanghai Führungskräfte des Unternehmens wegen der Angelegenheit vorgeladen hatten.

Weder die Regierung von Shanghai, noch die Polizei oder Alibaba haben sich zu der Polizeidatenbank geäußert.