En Chine, une base de données contenant environ 800 millions de visages et de plaques d’immatriculation serait apparemment librement accessible sur Internet depuis plusieurs mois. Les données proviendraient de caméras de surveillance fabriquées par Xinai Electronics.
Une société de surveillance n’a pas réussi à sécuriser la base de données
L’entreprise propose un contrôle d’accès électronique aux personnes et aux véhicules. Dans toute la Chine, les caméras de Xinai Electronics sont utilisées dans des lieux tels que les écoles, les chantiers de construction, les entreprises et les parkings. Outre le contrôle des autorisations d’accès, l’entreprise propose également une facturation automatique dans les parkings et un contrôle permanent de la présence des salariés sur le lieu de travail.
Sur son propre site Web, Xinai affirme avec assurance que les données collectées au cours du processus sont stockées en toute sécurité sur ses propres serveurs. Cependant, cela s’est avéré faux. Selon le chercheur en sécurité informatique Anurag Sen, les données étaient stockées sans protection sur des serveurs appartenant à la société chinoise Alibaba. L’ensemble de données en croissance rapide contenait des photos haute résolution de plaques d’immatriculation et de visages. Il contenait également des informations connexes telles que les noms, âges et cartes d’identité des personnes photographiées. Sen a pu montrer que toutes ces données pouvaient être librement accessibles depuis Internet sans mot de passe ni autre protection. Il suffisait de connaître l’adresse Internet.
Demande de rançon liée aux données
Outre le chercheur en sécurité informatique, au moins une autre personne a découvert l’ensemble de données, qui était librement accessible jusqu’en août. C’est ainsi que l’entreprise a été confrontée à une demande de rançon. Dans ce cadre, un inconnu a exigé un paiement en espèces et a affirmé avoir volé les données stockées. Elle ne le libérerait qu’à réception du paiement. L’entreprise n’a apparemment pas répondu à l’extorsion ; aucun argent n’a été reçu à l’adresse blockchain fournie.
Il n’est pas clair si la personne à l’origine de l’extorsion a quelque chose à voir avec la disparition de la base de données du réseau, comme Xinai Electronics n’a pas encore commenté publiquement. Il est également concevable que l’entreprise elle-même ait mis la base de données hors ligne après que le manque de protection ait été constaté.
Protection des données en Chine
Depuis novembre 2021, la Chine dispose d’une loi sur la protection des données qui oblige les entreprises privées à obtenir le consentement des personnes concernées avant de traiter des données personnelles. Cependant, la loi sur la protection des données dans la dictature n’a jusqu’à présent guère d’effet : les agences d’État qui collectent et analysent des données à grande échelle sont exemptées de la réglementation et les entreprises privées, comme le montre l’exemple actuel, ne se conforment pas nécessairement aux exigences. L’exonération des agences d’État n’est pas seulement problématique à cet égard, dans la mesure où le régime autoritaire utilise les données comme base pour discipliner ses citoyens ; le manque de protection des données a également conduit à leur vol dans le passé, permettant à des tiers de les utiliser à d’autres fins. Récemment, par exemple, environ un milliard de données ont été volées à la police de Shanghai.