Naši podaci nisu (samo) naši

Ukoliko se tvrdnje hakera da su uspeli doći do ličnih podataka najmanje pola milijarde kineskih državljana pokažu tačnima, biće to najveći hakerski napad u istoriji interneta.

To će biti i kulminacija serije globalnih hakerskih napada na društvene mreže, banke, državne službe i agencije u poslednjih godinu dana. Samo u poslednja tri meseca prošle godine ukradeni su podaci najmanje 214 miliona korisnika društvenih mreža, a u celoj 2021. godini su na neki način kompromitovani podaci najmanje 1,3 milijarde korisnika interneta.

Iako se još od početka masovnijeg korišćenja interneta i online usluga, pre gotovo 20 godina, korisnici neprestano upozoravaju da je digitalni svet nalik onom pravom, te da i u njemu postoje brojni rizici i opasnosti, svaka vest o novom “curenju podataka” (data leak), čini se, iznova iznenađuje javnost. U februaru prošle godine je samo jedan hakerski napad bio dovoljan da se dođe do potpunih ili delimičnih korisničkih podataka preko dve milijarde korisnika interneta. Nazvan COMB (compilation of many breaches, uporedni napad na više baza podataka) ovaj napad je bio usmeren na korisnike streaming video servisa (poput Netflixa), te profesionalnih društvenih mreža (poput LinkedIna). Podaci su sadržavali email adrese, a u mnogim slučajevima i korisnička imena i šifre, kao i jedinstvene korisničke brojeve (unique user ID). Hakeri iza COMB napada su otišli toliko daleko, da su za “mušterije” napravili i posebne softverske alate, SorterSH i QuerySH, kako bi se ova džinovska baza podataka lakše pretraživala. Cena ove COMB baze na hakerskim forumima se kretala između 10 i 30 bitcoina.

Nedugo zatim, na sličnom hakerskom forumu se pojavila nova baza podataka, nazvana MOAB (mother of all breaches). U pitanju su bili podaci 533 miliona korisnika Facebooka iz više od 106 zemalja. Iako je sama kompanija u svom PR pokušaju da minimalizuje štetu navela da su “u pitanju stari podaci, iz baze ukradene još 2019”, to je samo dodatno razljutilo korisnike.

Naime, ogromna većina korisnika veoma retko menja svoje podatke (credentials) na društvenim mrežama – iako stručnjaci savetuju da to treba činiti barem triput godišnje. Takođe, priznanje jedne od najvećih tehnoloških kompanija – da su znali za ogromno curenje podataka skoro dve godine – dodatno je pobudilo sumnje korisnika u stvarnu privatnost njihovih poruka, slika i video zapisa. Facebook je zapravo treći na celom internetu po količini “saobraćaja” (data traffic), odmah iza Google pretrage i video servisa YouTube.

‘Magnet’ sistem preuzimanja podataka

Iako većina korisnika smatra da se njihovi podaci nalaze na samo jednom mestu, u stvarnosti, online nalog je “podeljen” između hiljada serverskih računara na desetak lokacija širom sveta. Kompanija ima data centre u Oregonu, Teksasu, Švedskoj, Irskoj, Danskoj i na još desetak lokacija. Ovakvo “deljenje” podataka se naziva “hijerarhijski serverski sistem”, a upravo su veze između ovih centara za podatke i njihova najslabija karika, gde hakerske grupe uspevaju da presretnu internet saobraćaj. Slično važi i za druge društvene mreže, velike web sajtove, te korporacijcke i državne baze podataka.

Anonimni haker (koji je kasnije tvrdio da je vođa grupe od tridesetak ljudi) pod imenom “China Dan”, na hakerskim forumima je nedavno objavio tzv. hash fajl, koji je dalje vodio na veliku bazu od čak 23 terabajta podataka. “Breach Forums”, jedno od najpoznatijih “stecišta” hakera na internetu je u jednoj objavi imao i link ka celoj bazi, po ceni od 10 bitcoina, što je oko 230.000 dolara. Link je bio u “magnet” formatu, što znači da se ova ogromna baza preuzimala “u delovima”, sa stotina računara širom sveta, te je u praksi bilo gotovo nemoguće zaustaviti njeno preuzimanje ili obrisati podatke. “Magnet” sistem preuzimanja podataka funkcioniše slično “torrent” sistemu, nekada veoma poznatom i popularnom za preuzimanje videa i muzike sa interneta. U oba slučaja, korisnik preuzima fajl koji je samo “putokaz” ka desetinama, a često i stotinama računara i servera širom sveta odakle se podaci simultano preuzimaju. Na kraju ovog procesa, poseban softver na korisničkoj strani kombinuje ove “delove slagalice” u fajl ili bazu koja se može koristiti.

“China Dan”, bio on pojedinac ili hakerska grupa, naveo je da je ova baza zapravo iz šangajske bezbednosne uprave, čiji je deo i šangajska policija. Sama baza je imala oznaku SHGA (Shangai National Police). “China Dan” je takođe tvrdio i da baza sadrži podatke više od milijardu kineskih državljana, ali je baza ipak isuviše mala – podaci milijardu i više ljudi bi zauzimali daleko više od 23 terabajta. Kasnije su drugi “hakerski stručnjaci” na forumu tvrdili da je u pitanju baza “samo” 500 miliona građana, te da su mnogi podaci duplikati (npr. o stanu i vozilu za istu osobu). U prvoj objavi, baza je sadržala imena, adrese, datume rođenja, lične brojeve (nacionalni ID broj), podatke o hapšenjima, pa čak i brojeve telefona i email adrese. U inicijalnoj objavi je bilo čak i podataka građana iz nekoliko okruga na Tibetu.

Baza zaštićena ‘vojnim ključem’

Kada se vest o ovom curenju podataka proširila, sama baza je enkriptovana i zaštićena “vojnim ključem”, SHA-256. Ovaj metod šifrovanja (enkripcije) podataka se smatra jednim od najsigurnijih algoritama za zaštitu podataka dostupnim do sada. Osnova ovog sistema, SHA-2 (secure hash algorithm 2) je razvila američka obaveštajna agencija NSA. Budući da se SHA-256 algoritam koristi za najosetljivije podatke, naziva se i “vojnim ključem”, a koriste ga Pentagon, NATO, te brojne obaveštajne agencije i državne institucije širom sveta. Američki stručnjaci, koji su uspeli da dođu do dela podataka iz ove baze nemaju sumnji – baza je autentična. Ono što ukazuje da baza nije falsifikat neke od obaveštajnih službi su i podaci iz veoma udaljenih regiona i sela sa samo nekoliko hiljada stanovnika, za koje gotovo niko nije čuo čak i u samoj Kini. Neki podaci iz baze su sadržali i informacije o nacionalnim manjinama, te njihove demografske trendove, upravo ono čime se kineske vlasti godinama bave.

Ovo nije prvi put da se podaci ogromnog broja kineskih državljana nađu na internetu. Pre šest godina hakeri su došli do podataka desetine miliona korisnika sajta za kupovinu Taobao, koji je u vlasništvu kompanije Ali Baba, često nazivane i “kineski Google”. Budući da su na kineskom internetu svi podaci međusobno povezani u jedinstveni digitalni identitet svakog pojedinca, krađa ovih “spiskova za kupovinu” je dalje dovela do curenja i mnogo osetljivijih ličnih podataka. Taobao je u tom trenutku imao više od 100 miliona online korisnika. U Kini se smartfoni i digitalni identitet koriste praktično u svim segmentima života – plaćanju prevoza ili metroa, kupovini bila ona online ili u prodavnicama, te kao digitalna lična karta.

U Kini već godinama funkcioniše i sistem “društvenih kredita” (SCS, kineski PinYuin). Prvi put isproban još 2009. godine, ovaj sistem se sastoji od neke vrste “online oglasne table”, gde se za svaku osobu može videti njegov “društveni rezultat”. On se može povećavati, npr. učešćem u državnim projektima i aktivnostima, reciklaži, te drugim poslovima koji doprinose zajednici. Sa druge strane, oni koji ne poštuju zakone i propise, a pogotovo oni koji kritikuju državne vlasti i njenu politiku, imaju nizak “društveni kredit”.

Ćutanje kao najbolji demantij

Kineske vlasti nisu do sada komentarisale ovo curenje podataka svojih građana. Zapravo, pokrenuta je do sada neviđena akcija “kontrole štete”, pa su obrisane sve vesti na sajtovima unutar Kine, pa čak i objave na domaćim društvenim mrežama koje su citirale strane izvore i medije na ovu temu. Kina ima politiku “nulte tolerancije” na medijske izveštaje i o svim drugim nacionalno osetljivim pitanjima, poput statusa Tajvana i Nepala, politici prema ujgurskoj manjini, te kritikama rada Komunističke partije.

Sa druge strane, eksperti iz SAD-a i EU, te aktivisti za ljudska prava već gotovo deceniju upozoravaju na kineski program “masovnog nadgledanja”, čiji je ova procurela baza podataka najverovatnije jedan od delova. U Kini se još od 2000. godine sprovodi na desetine različitih programa nadzora građana i prikupljanja podataka. Poslednjih 15 godina, usled sve bržeg razvoja tehnologija veštačke inteligencije (AI) i prepoznavanja lica (FR), računarski sistemi opremljeni posebnim softverima u stanju su da samostalno prikupljaju i obrađuju video i audio zapise, te fotografije desetina miliona ljudi – i to na dnevnom nivou. Ove baze podataka su godinama rasle, pa se danas smatra da nema građana Kine (ali i stranaca koji su bili u dužoj ili kraćoj poseti) koji se ne nalaze u nekoj od ovih baza. Brojne međunarodne nevladine organizacije navode da je Kina po broju prikupljenih podataka daleko ispred SAD-a, te da se ukupna količina meri desetinama petabajta (petabajt – hiljadu terabajta).

Neki od izvora unutar Kine navode i da je ovo curenje podataka zapravo primer da ljudski faktor i dalje igra najbitniju ulogu kada su velike količine podataka u pitanju. Naime, sam haker “China Dan” je prvobitno došao do dela baze sa podacima oko 700.000 kineskih građana, a ovi fajlovi su se nalazili na javnom serveru (web adresi) bez ikakve zaštite ili lozinke. Najverovatnije su sami administratori unutar šangajske policije testirali razne opcije, te zaboravili da “zatvore vrata” cele baze.

Veći deo ukupne baze se nalazio na javnoj usluzi “Aliyun”, koja je zapravo deo Ali Baba Cloud servisa za online čuvanje podataka – iste one kompanije koja je već bila napadnuta 2016. Čak je i poznati stručnjak i CEO vodeće berze za kriptovalute “Binance”, Zhao Changpeng, na svom Twitter nalogu napisao da je “njegova kompanija detektovala curenje podataka stotina miliona građana jedne azijske zemlje”. On je i podsetio i na curenje podataka 538 miliona korisnika “kineskog Twittera”, sajta Weibo – pre samo dve godine.