Covid, i nostri dati sanitari rubati dagli hacker: 48,5 mln in vendita

Vuoi entrare nei luoghi pubblici? Devi utilizzare l’App del governo e fornire i tuoi dati sanitari. Peccato che poi gli hacker li rubino e li vendano in rete. Rubati anche alla polizia

Vuoi entrare nei luoghi pubblici? Devi utilizzare l’App del governo e fornire i tuoi dati sanitari. 

Peccato che poi gli hacker li rubino e li vendano in rete anche a un prezzo irrisorio. E’ successo in queste ore a Shanghai in Cina, città di 25 milioni di abitanti. Domani potrebbe accadere anche da noi, vista la facilità con la quale i pirati informatici si sono impossessati degli estremi, con effetti imprevedibili sulla salute delle persone. I mercati illegali della sanità, degli organi umani, il mercato nero dei farmaci e il turismo sanitario illegale sono i primi a poterne approfittare.

Un hacker con il nome "XJP" ha messo in vendita quelli di 48,5 milioni di utenti e precisamente dell'app mobile con codice sanitario Covid gestita dalla città di Shanghai. L'hacker "XJP" vende i dati per soli 4.000 dollari USA (17.777 RM, cioè Renminbi, la valuta ufficiale della Cina ) e lo fa sul forum degli hacker Breach Forums. Inizialmente chiedeva 4.850 dollari USA (21.554 RM) prima di abbassare il prezzo nel corso della stessa giornata di lancio della vendita. Nel caso sono coinvolti non solo cinesi ma tutti coloro che hanno visitato Shanghai negli ultimi 2 anni. "Questo DB (database)”, ha scritto XJP nel post, “contiene i dati di tutti coloro che vivono o hanno visitato Shanghai dall'adozione di Suishenma".

Suishenma è il nome cinese del sistema di codice sanitario di Shanghai, che la città, come molte in tutta la Cina, ha istituito all'inizio del 2020 per combattere la diffusione del Covid-19. Tutti i residenti e i visitatori devono usarlo. L'app raccoglie i dati di viaggio per dare alle persone una valutazione, rossa, gialla o verde, a seconda della probabilità individuale di contrarre il virus. I cittadini devono mostrare il codice ogni volta vogliano accedere ai luoghi pubblici.

Per provare di essere in possesso delle specifiche sanitarie l'hacker ha fornito un campione dei dati di 47 persone, inclusi i nomi, i numeri di telefono, gli identificativi del sistema e lo stato del codice sanitario.
Immediatamente è partita la caccia ai 47 che sono stati raggiunti da telefonate dei giornalisti di Reuters. Tutti avevano usato l’App e fornito i loro dati anche se due degli intervistati hanno affermato che i loro numeri di identificazione erano sbagliati.

E’ il secondo caso clamoroso in poco più di un mese: a inizio luglio vennero rubati al database della polizia i dati di un miliardo di persone e messi in vendita sul dark web per 10 bitcoin, cioè oltre 198.000 dollari. L’aspetto più inquietante è la facilità con la quale i pirati informatici siano entrati in possesso dei dati. 
In merito al furto di luglio un’inchiesta del Wall Street Journal, supportata da esperti di sicurezza informatica, ha affermato che una dashboard, un pannello, per la gestione di un database della polizia era stata lasciata aperta su Internet, cioè pubblica e senza protezione con password per più di un anno. Né il governo di Shanghai, né la polizia hanno commentato la vicenda.
In merito all’ultimo caso i dati sono gestiti dal governo cittadino e gli utenti accedono a Suishenma tramite l'app Alipay, di proprietà del gigante Fintech, affiliato di Alibaba, Ant Group, e l'app WeChat di Tencent Holdings.

I giornalisti intervenuti e che hanno seguito la vicenda hanno provato a raccogliere un commento di XJP, del governo di Shanghai, di Ant Group e di Tencent ma per ora sembra che nessuno abbia risposto alle sollecitazioni.