Ερευνητές κυβερνοασφάλειας αποκάλυψαν μία από τις μεγαλύτερες διαρροές δεδομένων στην ιστορία αφού ανακάλυψαν 8,73 δισεκατομμύρια κινεζικά αρχεία απροστάτευτα σε μια δημόσια προσβάσιμη βάση δεδομένων Elasticsearch.
Ο θησαυρός ευαίσθητων πληροφοριών παρέμεινε ανοιχτός σε οποιονδήποτε στο διαδίκτυο για περισσότερο από τρεις εβδομάδες πριν κλείσει στις 26 Ιανουαρίου, δημιουργώντας αυτό που οι ειδικοί περιγράφουν ως συστημικό κίνδυνο απορρήτου για πιθανώς εκατοντάδες εκατομμύρια άτομα.
Ο Bob Diachenko, ερευνητής κυβερνοασφάλειας και συνεργάτης της Cybernews, ανακάλυψε το εκτεθειμένο σύμπλεγμα την 1η Ιανουαρίου 2026. Η βάση δεδομένων περιείχε 163 ξεχωριστούς δείκτες που φιλοξενούσαν αρχεία τα οποία περιλάμβαναν εθνικούς αριθμούς ταυτότητας πολιτών, οικιακές διευθύνσεις, αριθμούς κινητών τηλεφώνων, κωδικούς πρόσβασης σε απλό κείμενο, διευθύνσεις email και αναγνωριστικά μέσων κοινωνικής δικτύωσης.
Η δομή των εκτεθειμένων δεδομένων υποδηλώνει σκόπιμη επιμέλεια παρά τυχαία εσφαλμένη διαμόρφωση. Οι ερευνητές διαπίστωσαν ότι το σύμπλεγμα ήταν άκρως οργανωμένο και κατατμημένο, με θεματικούς δείκτες αφιερωμένους σε συγκεκριμένους τύπους δεδομένων, συμπεριλαμβανομένων συλλογών επικεντρωμένων σε τηλέφωνα, ταυτότητες και λογαριασμούς.
«Η υποδομή φιλοξενούνταν σε πάροχο bulletproof hosting, που συνδέεται συνήθως με υψηλού κινδύνου ή μη συμμορφούμενες λειτουργίες δεδομένων», δήλωσε η ερευνητική ομάδα του Cybernews. «Επιπλέον, η δομή και η κλίμακα του συνόλου δεδομένων υποδηλώνουν σκόπιμη συγκέντρωση, όχι τυχαία καταγραφή ή εσφαλμένη διαμόρφωση από μια μεμονωμένη υπηρεσία καταναλωτή».
Η ανάλυση των μεταδεδομένων αποκάλυψε ότι τα δεδομένα είχαν εισαχθεί τόσο πρόσφατα όσο τα τέλη του 2025, υποδεικνύοντας «μια μακροχρόνια προσπάθεια συγκέντρωσης παρά μια μεμονωμένη ιστορική παραβίαση», σύμφωνα με τους ερευνητές. Η βάση δεδομένων δεν περιείχε banners, ονόματα οργανισμών ή αναγνωριστικά λειτουργών, και δεν έχει εμφανιστεί καμία δημόσια διεκδίκηση κυριότητας.
Η διαρροή δημιουργεί σημαντικούς κινδύνους για όσους εκτέθηκαν τα προσωπικά τους δεδομένα. Κωδικοί πρόσβασης σε απλό κείμενο και με αδύναμη προστασία που βρέθηκαν σε πολλαπλά σύνολα δεδομένων επιτρέπουν επιθέσεις credential stuffing, όπου εγκληματίες χρησιμοποιούν κλεμμένα στοιχεία σύνδεσης για να αποκτήσουν πρόσβαση σε άλλους λογαριασμούς που χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης.
Η έκθεση των αριθμών εθνικής ταυτότητας μαζί με άλλα προσωπικά αναγνωριστικά στοιχεία δημιουργεί ιδιαίτερες ανησυχίες για κλοπή ταυτότητας. Οι αριθμοί αστυνομικής ταυτότητας Κινέζων πολιτών περιέχουν ενσωματωμένα δεδομένα όπως τόπο γέννησης, ημερομηνία γέννησης και φύλο, καθιστώντας τους πολύτιμους για την κατασκευή δόλιων ταυτοτήτων ή την πρόσβαση σε κυβερνητικές υπηρεσίες.
«Παρά το σύντομο χρονικό διάστημα έκθεσης, η κλίμακα του συνόλου δεδομένων σημαίνει ότι η αυτοματοποιημένη συλλογή κατά τη διάρκεια αυτής της περιόδου θα μπορούσε να έχει οδηγήσει σε ευρεία δευτερογενή διάδοση», προειδοποίησαν οι ερευνητές.
«Αυτή η αποκάλυψη καταδεικνύει πώς η συγκέντρωση προσωπικών δεδομένων μεγάλης κλίμακας μπορεί να παραμένει εκτός κανονιστικής εποπτείας όταν φιλοξενείται σε επιτρεπτικά περιβάλλοντα», κατέληξε η ερευνητική ομάδα.
