Uno sviluppatore di software cinese ha setacciato per otto mesi il sito web di e-commerce Taobao gestito da Alibaba, raccogliendo clandestinamente oltre 1,1 miliardi di informazioni sugli utenti prima che l'azienda di e-commerce notasse la violazione.
È quanto emerso dal verdetto di un tribunale cinese nella provincia di Henan emesso il mese scorso ma reso noto ora. La portavoce dell'azienda ha riferito che Alibaba ha rilevato e trattato proattivamente il problema e sta lavorando con le forze dell'ordine per proteggere i propri utenti, senza precisare il numero di persone interessate dalla violazione.
La portavoce ha specificato che l'incidente non ha comportato perdite sul piano economico e che nessuna informazione degli utenti è stata ceduta a terzi. Secondo la società, circa 925 milioni di persone utilizzano le piattaforme di vendita al dettaglio cinesi di Alibaba almeno una volta al mese.
Secondo il tribunale che si é occupato del caso, lo sviluppatore incriminato, soprannominato Lu, si é servito del software di scansione web che ha progettato sul sito di Taobao a partire da novembre 2019, raccogliendo una serie di informazioni come Id utente, numeri di cellulare e commenti dei clienti. Quando Alibaba ha notato la fuga di dati da Taobao, ha immediatamente informato le forze dell'ordine.
Anche se la violazione non ha permesso allo sviluppatore di accedere a informazioni crittografate, come le password, una parte dei dati che ha raccolto, inclusi i numeri di telefono e una parte dei nomi utente, non è presentata pubblicamente sul sito web dell'azienda.
Per gli esperti legali della Cina, una fuga di dati che riguarda anche i numeri di telefono personali ha delle conseguenze molto più gravi in Cina rispetto ad altri paesi del mondo.
Nella Repubblica popolare, infatti, le persone sono tenute a registrarsi con un vero nome identificativo prima di ottenere un numero di cellulare, e i numeri sono considerati per legge come informazioni personali, ha spiegato Annie Xue, avvocato presso lo studio legale Gen.
Inoltre, i consumatori cinesi si iscrivono alla maggior parte dei servizi internet che utilizzano con i loro telefoni cellulari. Ciò implica che conoscere il numero di cellulare di una persona renderebbe più facile per un malintenzionato setacciare gli account social e accedere ad altre informazioni personali, ha aggiunto Clement Chen, assistente professore di diritto presso l'Università di Hong Kong.
Il problema delle fughe di dati dei consumatori e diventatato all'ordine del giorno in Cina negli ultimi anni, poiché la regolamentazione sulla sicurezza dei dati del paese fatica a stare al passo dei suoi progressi tecnologici. Le informazioni personali illecitamente raccolte vengono spesso vendute sul mercato nero per pochi centesimi e hanno portato a un nascente movimento per la privacy tra i cittadini cinesi.
Per queste ragioni, i legislatori cinesi stanno spingendo per una maggiore supervisione nel settore informatico. La scorsa settimana, il governo di Pechino ha approvato una nuova legge sulla sicurezza dei dati per rafforzare il controllo sui flussi di dati all'interno del paese. La legge, insieme alla proposta di legge modellata sul regolamento sulla protezione dei dati dell'Unione europea, mira a rafforzare le norme informatiche, come la legge sulla sicurezza informatica introdotta nel 2017.
Secondo la sentenza del tribunale distrettuale che ha trattato il caso di Taobao, Lu avrebbe passato i numeri di telefono raccolti clandestinamente al suo datore di lavoro, capo di un'azienda che faceva promozioni per i venditori su Taobao. I due sono stati condannati ciascuno a più di tre anni di carcere.
Sebbene non siano state attribuite colpe ad Alibaba per la fuga di dati, la società potrebbe dover pagare delle sanzioni amministrative ai sensi della legge sulla sicurezza informatica del 2017, ha affermato You Yunting, senior partner presso Shanghai Debund Law Offices. (riproduzione riservata)