JAKARTA - Seorang peretas mengklaim telah memperoleh informasi pribadi 48,5 juta pengguna aplikasi seluler kode kesehatan COVID yang dijalankan oleh kota Shanghai, klaim kedua atas pelanggaran data pusat keuangan China hanya dalam waktu sebulan.

Peretas dengan nama pengguna sebagai "XJP" memposting tawaran untuk menjual data seharga $ 4.000 di forum peretas Forum Pelanggaran pada hari Rabu.

Peretas memberikan sampel data termasuk nomor telepon, nama dan nomor identifikasi Cina dan status kode kesehatan 47 orang.

Sebelas dari 47 orang yang dihubungi Reuters mengkonfirmasi bahwa mereka terdaftar dalam sampel, meskipun dua mengatakan nomor identifikasi mereka salah.

"DB (database) ini berisi semua orang yang tinggal atau mengunjungi Shanghai sejak adopsi Suishenma," kata XJP dalam postingan tersebut, yang awalnya meminta $4.850 sebelum menurunkan harga di kemudian hari.

Suishenma adalah nama China untuk sistem kode kesehatan Shanghai, yang didirikan oleh kota berpenduduk 25 juta orang itu. Seperti banyak kota di seluruh China, pada awal 2020 untuk memerangi penyebaran COVID-19, semua penghuni dan pengunjung harus menggunakannya.

Aplikasi mengumpulkan data perjalanan untuk memberi orang peringkat merah, kuning, atau hijau yang menunjukkan kemungkinan terjangkit virus dan pengguna harus menunjukkan kode untuk memasuki tempat umum.

Data dikelola oleh pemerintah kota dan pengguna mengakses Suishenma melalui aplikasi Alipay, yang dimiliki oleh raksasa fintech dan afiliasi Alibaba (9988.HK), Ant Group, dan aplikasi WeChat dari Tencent Holdings (0700.HK).

XJP, pemerintah Shanghai, Ant dan Tencent, tidak segera menanggapi permintaan komentar.

Pelanggaran Suishenma yang diklaim terjadi setelah seorang peretas awal bulan lalu mengatakan mereka telah memperoleh 23 terabyte informasi pribadi milik satu miliar warga China dari polisi Shanghai.

Peretas itu juga menawarkan untuk menjual data di Forum Pelanggaran.

The Wall Street Journal, mengutip peneliti keamanan siber, mengatakan peretas pertama berhasil mencuri data dari polisi karena dasbor untuk mengelola basis data polisi dibiarkan terbuka di internet publik tanpa perlindungan kata sandi selama lebih dari setahun.

Surat kabar itu mengatakan data di-host di platform cloud Alibaba dan otoritas Shanghai telah memanggil eksekutif perusahaan atas masalah tersebut.

Baik pemerintah Shanghai, maupun polisi maupun Alibaba tidak mengomentari masalah database polisi.