La sciatteria informatica in Cina è in grado di fare danni monumentali: è bastata l'esposizione online di due database della Jiangsu Provincial Public Security Department per rendere accessibili i dati di più di 90 milioni di cittadini e imprese. Come racconta BleepingComputer il server della ElasticSearch che ospitava dei comunissimi archivi provinciali è stato lasciato senza alcun tipo di protezione, senza log-in e password attive e senza un'adeguata configurazione. Insomma, chiunque nel tempo ha potuto accedervi via browser.
Lo scenario è a dir poco preoccupante non solo perché la popolazione dell'intera area è di più di 80 milioni di abitanti – quindi poco di meno del leak – ma anche perché il Dipartimento è legato sia al Governo provinciale che al Ministero della Pubblica Sicurezza. Nei 26 GB di dati esposti erano presenti informazioni sensibili, come nome, data di nascita, numero di carta di identità, residenza, etc. Per le imprese vi erano anche tipo di attività, memo e altri dettagli.
Sanyam Jain, esparto di sicurezza informatica e membro della GDI, ha confermato alla testata che vi erano esattamente i dati di più di 58 milioni di cittadini e di 33 milioni di aziende. La situazione si è risolta lo scorso weekend, ma dalla scoperta (1 luglio) alla risoluzione (8 luglio) sono comunque passati diversi giorni e non si sa esattamente da quanto i dati fossero esposti.
ElasticSearch non è nuova a questi problemi e infatti lo stesso Jain tempo fa ha scoperto altri leak riguardanti i database della società di reclutamento personale FMC Consulting, 33 milioni di profili di candidati e 108 milioni di scommesse di diversi casino online. Senza contare 114 milioni di dati di società e cittadini statunitensi e oltre 32 milioni di profili di Sky Brasil nel 2018. E sempre con scenari analoghi: mancanza di configurazioni adeguate e impostazioni delle password.
