Hoppa till huvudinnehåll

Yles granskning visar: Den kinesiska "spionlistans" spår leder till USA - nästan 800 finska namn härstammar från Dow Jones

Bildmontage, Kinas flagga och text på kinesiska och engelska.
Bildmontage, Kinas flagga och text på kinesiska och engelska. Kina,Zhenhua Data leak

Nästan alla finländska och danska namn som har avslöjats i en stor kinesisk dataläcka hittas i en amerikansk databas. Det kinesiska företag som återanvänt uppgifterna har kopplingar till militären.

Yle har i sin granskning lyckats spåra namnen som använts av ett kinesiskt dataföretag till en amerikansk databas. Källan är en av ekonomiförlaget Dow Jones dataprodukter som används inom bankvärlden.

Kinesiska Zhenhua Datas så kallade spionlista med uppgifter om miljontals personer bygger alltså åtminstone delvis på en större datamassa som det amerikanska företaget har samlat in.

Detta handlar det om

  • Det australiska it-säkerhetsföretaget Internet 2.0 publicerade i mitten av september uppgifter om att kinesiska Zhenhua Data hade samlat ihop en databas med namn på 2,4 miljoner personer.
  • Materialet i dataläckan från Zhenhua Data har levererats av den amerikanske professorn Christopher Balding, som har sagt att han har fått det av källor i Kina.
  • Internet 2.0 har lyckats återställa uppgifter om cirka 250 000 personer i databasen, bland dem 800 finländare.
  • Yles granskning visar att uppgifterna åtminstone om finländare och danskar huvudsakligen är kopierade från en amerikansk databas.

Medier i ett flertal olika länder gick förra veckan ut med nyheten om att företaget Zhenhua Data, med kopplingar till Kinas underrättelsetjänst och militär, hade byggt en databas med information om 2,4 miljoner personer världen över. Företaget hade döpt sin databas till OKIDB - Oversea Key Information Database (ungefär utländsk nyckelinformationsdatabas).

I en del nyheter gjordes tolkningen att databasen visar på Kinas förmåga att känna igen och övervaka samhälleliga nyckelpersoner runt om i världen.

I det australiska rundradiobolagets ABC:s nyhet beskrevs Zhenhua-läckan som "Cambridge Analytica på steroider". ABC News gjorde bedömningen att läckan avslöjade en global operation för att samla in privatpersoners profiler i skadliga syften.

I det läckta materialet återfinns bland annat uppgifter om tiotusentals amerikanska, brittiska och australiska medborgare. Namnlistorna omfattar såväl samhälleliga ledare som personer inom deras närmaste krets, till exempel Storbritanniens och Australiens premiärministrar Boris Johnson och Scott Morrison samt medlemmar av det brittiska kungahuset. Listorna innehåller även uppgifter om familjemedlemmar och närstående till personer i ledande positioner.

Dataläckan avslöjades av det australiska cybersäkerhetsföretaget Internet 2.0, som säger sig ha återskapat 250 000 personers uppgifter eller cirka tio procent av den kinesiska databasen.

Yle hör till de finländska medier som förra veckan fick tillgång till uppgifter om finländare i databasen. Nästan 800 finländare i läckan hade delats in i tre olika grupper: politiker, släktingar/närstående och brottslingar.

Tack vare gruppindelningen och det övriga innehållet har Yle lyckats spåra källan till en databas som ägs av Dow Jones.

I den amerikanska databasen är finländarna indelade i precis samma kategorier som i det läckta materialet från Kina:

Politiskt exponerade personer (PEP - Politically Exposed Persons) - ingår med 250 namn i det läckta materialet. Bland dem återfinns bland annat ministrar, riksdagsledamöter, högt uppsatta tjänstemän, företagsledare och övriga inflytelserika personer.

Personer av specialintresse (SIP - Special Interest Person) består av 21 namn. Flera av dem är kända ekonomiska brottslingar och narkotikasmugglare.

Släktingar och närkrets (RCA - Relative/Close Associate) är den största kategorin med 523 finländska namn. Den här gruppen omfattar familjemedlemmar och andra närstående till medlemmar i de övriga kategorierna.

Graf med fördelning av de finländska namnen enligt kategori - 250 politiskt exponerade personer, 523 släktingar och närstående, 21 personer av särskilt intresse
Graf med fördelning av de finländska namnen enligt kategori - 250 politiskt exponerade personer, 523 släktingar och närstående, 21 personer av särskilt intresse

Yle har kunnat säkerställa att 793 unika namn på finländare i den kinesiska listan återfinns i Dow Jones databas.

Bara ett namn saknas, vilket kan bero på att den kinesiska listan är en äldre kopia.

På basis av tidsstämplar och dateringen av länkar i materialet kan man dra slutsatsen att kopian sannolikt är från slutet av år 2017.

Också danska namnlistor stämmer överens

Yle har också studerat en lista med uppgifter om danskar som avslöjats i dataläckan. Det danska rundradiobolaget DR har tidigare rapporterat om danskarna i läckan.

Liksom med de finländska namnen återfinns de danska namnen både i det kinesiska materialet och i den amerikanska databasen.

Även danskarna är grupperade på samma sätt i båda materialen. Bara två av de 752 danska namnen var sådana som inte återfanns i Dow Jones databas.

Så undersökte Yle Zhenhua Data-läckan

  • Yle har jämfört databastabeller från Zhenhua-läckan med tillgängliga uppgifter om Dow Jones databaser för riskhantering (övervakningslistor).
  • Utredningen gäller finländare och danskar i databasen. Yle har inte sett det läckta materialet i sin helhet.
  • Yle har fått tillgång till Dow Jones databas-material med hjälp av en anonym källa.
  • Yle har använt namnsökningar för att kontrollera, att dataläckans namn med få undantag finns i Dow Jones databas.
  • Det är möjligt att Internet 2.0 har raderat vissa uppgifter i de läckta tabellerna innan de har skickats till medier som Yle för påseende.
  • Dow Jones dokumentation av Risk & Compliance -databasen (tidigare Watchlist) stämmer väl överens med det läckta materialet. Det finns många likheter i datastrukturerna.
  • Förutom namn och kategorisering innehåller läckan flera andra uppgifter som återfinns i Dow Jones material: länkar till bilder, brottsbeskrivningar, företagskopplingar etc.
  • Uppgifter om sex finländare och sex danskar finns i separata tabeller. Dessa namn har inte undersökts, men uppgifterna innehåller källhänvisningar till Crunchbase och Wikipedia.

Expert: Gamla dataläckor återanvänds

Cybersäkerhetsexperten Mikko Niemelä anser det inte alls överraskande om Zhenhua-läckans ursprung finns i en tidigare dataläcka som kan spåras till USA.

- Om listan är identisk så är det ofta fallet. Det låter som att det är samma grejer, säger Mikko Niemelä, vd för företaget Cyber Intelligence House med bas i Singapore.

Enligt Niemelä är det också möjligt att Zhenhua Data har använt Dow Jones som grunddata, som senare har fyllts på och förädlats med uppgifter från andra datakällor.

Informationstavla i New York med texten Wall Street Journal
Dow Jones & Company är ett amerikanskt förlag med fokus på ekonomi. Till företagets produkter hör tidningen Wall Street Journal och aktieindexet Dow Jones Industrial Average. Dow Jones ägs av mediemogulen Rupert Murdochs News Corp. Informationstavla i New York med texten Wall Street Journal Bild: EPA/JUSTIN LANE Dow Jones Industrial Average,Börsen,wall street journal

Dow Jones samlar uppgifter om människor för bankvärlden

Miljontals människor har hamnat i Dow Jones databas eftersom det amerikanska bolaget samlar och säljer uppgifterna till aktörer i finansvärlden, till exempel banker.

Databasen kallas Dow Jones Risk & Compliance database. En tidigare motsvarande databas gick under namnet Dow Jones' Watchlist, alltså Dow Jones bevakningslista.

Tjänster som bygger på databasen används till exempel av banker för riskbedömning av sina kunder. Uppgifterna hjälper finansiella institutioner att motverka penningtvätt och övrig ekonomisk brottslighet. Uppgifterna används också för att tillämpa internationella sanktioner.

Förutom de tre identiska personkategorierna finns det många andra likheter mellan det kinesiska läckta materialet och den amerikanska databasen.

Flera andra termer återfinns ordagrant i dokumentation för Dow Jones övervakningslista, bland annat brottskategorier (Organised Crime, Financial Crime, Tax Crime etc) och statusuppgifter (Active/Passive).

Det kinesiska datamaterialet innehåller också länkar till nyhetstelegram som har publicerats av den Dow Jones-ägda nyhetsbyrån Factiva.

Forskare: En illvillig aktör kan få ett perfekt vapen

Uppgifter från Dow Jones-databasen ifråga har läckt ut på internet redan tidigare.

Den ukrainska cybersäkerhetsforskaren Bob Diachenko avslöjade i februari 2019 att Dow Jones övervakningslista fanns tillgänglig för vilken internetanvändare som helst med tillräckliga tekniska kunskaper för att hitta den.

Diachenko rapporterade på sin blogg att uppgifter om 2,4 miljoner människor kunde hittas med hjälp av specialiserade sökmotorer. Siffran överensstämmer med storleken på den kinesiska databasen.

Redaktör Linus Lång intervjuar den ukrainske cybersäkerhetsexperten Bob Diachenko per videosamtal.
Den ukrainske cybersäkerhetsexperten Bob Diachenko intervjuades av Linus Lång Redaktör Linus Lång intervjuar den ukrainske cybersäkerhetsexperten Bob Diachenko per videosamtal. Expert (specialist),cybersäkerhet,informationsläckage,Security Discovery

Yle har bett Diachenko ta ställning till om uppgifterna i den kinesiska dataläckan härstammar från den dataläcka som han avslöjade.

- Jag ser tydliga likheter med den Dow Jones-databas som jag undersökte tidigare. Jag tror att de här databaserna har ganska mycket gemensamt, säger Diachenko i ett videosamtal med Yle.

Diachenko leder konsultbyrån Security Discovery som specialiserat sig på cybersäkerhet.

Han säger att han har förstört sin kopia av den läckta databasen på uppmaning av Dow Jones. Efter Diachenkos avslöjande betonade Dow Jones att uppgifterna i databasen samlas in från offentliga källor.

Diachenko håller med Dow Jones om att Watchlist-uppgifterna inte i sig är särskilt känsliga. Samtidigt säger han att informationens värde ligger i att den är välstrukturerad.

Diachenko har lång erfarenhet av att avslöja och undersöka dataläckor. Han bedömer att uppgifterna kan missbrukas i kombination med andra dataläckor. En illvillig aktör kan då ta fram en tillräckligt detaljerad bild av sitt mål.

- Jag tänker på det här som ett gift som måste kombineras med andra uppgifter för att vara effektivt. Genom att till exempel kombinera den här databasen med läckta e-post/lösenordskombinationer och data som samlas in från sociala medier kan en illvillig aktör ta fram ett perfekt vapen.

Yle har bett Dow Jones kommentera den kinesiska dataläckan och dess likheter med de tjänster företaget erbjuder.

Dow Jones har tills vidare inte kommenterat saken. Däremot understryker företagets kommunikatör att Risk & Compliance-databasens uppgifter samlas in från tidningsartiklar, nationella övervakningslistor och övriga öppna källor.

Expert: Gamla dataläckor säljs och återanvänds i olika länder

Niemelä är vd för Cyber Intelligence House som verkar i Singapore. Han konstaterar att läckt data ofta kan komma till försäljning i flera repriser och under långa perioder. Sammanställd data kan dyka upp på nytt ett halvt år eller ett år efter den egentliga läckan.

Så har det sannolikt hänt i samband med den kinesiska Zhenhua-dataläckan, tror Niemelä.

- Uppenbarligen har man varit litet lata med datainsamlingen där, och nöjt sig med vilken data som helst, också återanvända gamla dataläckor, funderar han.

Liksom Bob Diachenko bedömer Niemelä att de identiska namnen i Dow Jones och Zhenhua Datas listor innebär att kineserna kan kombinera de avslöjade namnen med övriga datamassor.

- Det är snarast så att uppgifterna blir en del av ett större register och då det uppstår behov att undersöka någon person närmare finns uppgifterna färdigt i registret.

Zhenhua har också samlar ihop data från olika typer av källor som kan användas för bland annat underrättelsearbete.

Enligt The Washington Post har företaget till exempel följt med twitter-uppdateringar som har sänts från amerikanska militärbaser utomlands och samlat tjänstgöringsuppgifter om officerare.

Mikko Niemelä anser att det är osannolikt att kineserna skulle ha använt uppgifterna i databasen mot de finländare som listas där.

- Jag tror inte att listan i sig orsakar någon som helst attack eller andra påverkningsmetoder, utan då behov uppstår kollar man om det finns uppgifter och vad det finns.

Läs också