Η κινεζική επιχείρηση αγορών “Taobao” της Alibaba υπέστη data breach (παραβίαση δεδομένων), αφού ένας Κινέζος software developer χρησιμοποίησε web crawl software για να αποκτήσει 1,1 δισεκατομμύρια κομμάτια δεδομένων, συμπεριλαμβανομένων usernames και αριθμών κινητών τηλεφώνων. Την είδηση για το τεράστιο data leak έφερε στο φως της δημοσιότητας η εφημερίδα της Wall Street (WSJ), στις 15 Ιουνίου, αναφερόμενη σε δικαστική απόφαση της Κίνας.
Συγκεκριμένα, η WSJ ανέφερε μια πρόσφατη απόφαση που ελήφθη από ένα περιφερειακό δικαστήριο στην κεντρική Henan της Κίνας, η οποία ανέφερε ότι μεταξύ των δεδομένων που εκτέθηκαν στα πλαίσια του data breach συγκαταλέγονται αναγνωριστικά (IDs) χρήστη, αριθμοί κινητών τηλεφώνων, καθώς και σχόλια χρηστών.
Το δικαστήριο ανέφερε το data breach στην αστυνομία, όταν η Alibaba παρατήρησε την ύποπτη δραστηριότητα. Το Taobao είναι μια από τις πιο δημοφιλείς πλατφόρμες αγορών στην Κίνα. Σύμφωνα με την εταιρεία, περίπου 925 εκατομμύρια άνθρωποι χρησιμοποιούν το Taobao και άλλους ιστότοπους λιανικής της Alibaba κάθε μήνα.
Διαβάστε επίσης: Η Alibaba ανησυχεί για το App Tracking Transparency της Apple
Chatbot ενθάρρυνε έφηβο να σκοτώσει τους γονείς του
RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Η απόφαση δεν έκρινε την Alibaba υπεύθυνη για τη διαρροή. Ωστόσο, θα μπορούσαν να της επιβληθούν διοικητικές κυρώσεις, βάσει του κινεζικού νόμου περί ασφάλειας στον κυβερνοχώρο του 2017, όπως δήλωσε ο Yuyunting, ανώτερος συνεργάτης στα γραφεία του Shanghai Deband.
Σύμφωνα με αναφορά που κατατέθηκε σε δικαστήριο της επαρχίας Henan, ένας software developer με το όνομα Lu πραγματοποίησε scraping του site, χρησιμοποιώντας ένα εργαλείο που αναπτύχθηκε στην πλατφόρμα Taobao το 2019. Ο Lu άρχισε να αποσπά ορισμένα από τα δεδομένα χρηστών που υπήρχαν στον ιστότοπο, τα οποία παραδόθηκαν, στη συνέχεια, στον εργοδότη του Lu. Η WSJ ανέφερε ότι πίσω από την εν λόγω ενέργεια βρίσκεται μια εταιρεία promotion που συνεργαζόταν με εμπόρους του Taobao. Σύμφωνα με την έκθεση, ο εργοδότης χρησιμοποίησε τα δεδομένα για να βρει νέους πελάτες και ζητούσε κουπόνια Taobao.
Η WSJ ανέφερε ότι τόσο ο Lu όσο και ο ανώνυμος εργοδότης του καταδικάστηκαν σε ποινή φυλάκισης άνω των τριών ετών. Οι αποφάσεις των κινεζικών δικαστηρίων δημοσιεύονται γενικά μήνες μετά και συνήθως περιέχουν μόνο το επώνυμο.
Δείτε ακόμη: Ο browser της Alibaba αφαιρέθηκε από τα κινέζικα app stores
Τα τεράστια data leaks, στα πλαίσια των οποίων εκτίθενται δεδομένα καταναλωτών, είναι σύνηθες φαινόμενο στην Κίνα τα τελευταία χρόνια, καθώς ο κανονισμός για την ασφάλεια δεδομένων της χώρας αγωνίζεται να ανταποκριθεί στις εξελίξεις της τεχνολογίας. Προσωπικές πληροφορίες από αυτές τις διαρροές πωλούνται συχνά στη μαύρη αγορά, γεγονός που έχει οδηγήσει σε ένα νέο κίνημα ιδιωτικότητας μεταξύ των Κινέζων πολιτών.
Οι Κινέζοι νομοθέτες έχουν ασκήσει πιέσεις για περισσότερη εποπτεία, έχοντας ως στόχο την καλύτερη προστασία των προσωπικών δεδομένων. Την προηγούμενη εβδομάδα, η Κίνα θέσπισε έναν νέο νόμο για την ασφάλεια δεδομένων, προκειμένου να ενισχύσει τον έλεγχο του Πεκίνου στις ροές δεδομένων εντός της χώρας και να βελτιώσει την προστασία των δεδομένων των καταναλωτών.
Πρόταση: Η Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας (DPC) ερευνά το Facebook data leak
Ο νόμος, μαζί με την προτεινόμενη νομοθεσία που βασίζεται στον κανονισμό για την προστασία των δεδομένων της Ευρωπαϊκής Ένωσης, αποσκοπεί στην ενίσχυση των κανονισμών δεδομένων, όπως ο νόμος για την ασφάλεια στον κυβερνοχώρο που θεσπίστηκε το 2017. Ο νέος νόμος περί ασφάλειας δεδομένων της Κίνας ψηφίστηκε τον Απρίλιο. Ο νόμος, που απορρέει από τον νόμο περί ασφάλειας στον κυβερνοχώρο του 2017, θα τεθεί σε ισχύ την 1η Σεπτεμβρίου.
Πολλοί τεχνολογικοί γίγαντες, συμπεριλαμβανομένου του Facebook, έχουν έρθει επίσης αντιμέτωποι με σοβαρά data leaks. Τον Απρίλιο, το Facebook κατηγόρησε «κακόβουλους ηθοποιούς» για scraping δεδομένων, συμπεριλαμβανομένων ονομάτων και αριθμών τηλεφώνου περισσότερων από 530 εκατομμυρίων χρηστών. Ειδικοί σε νομικά ζητήματα και ζητήματα απορρήτου δήλωσαν τότε ότι ο γίγαντας των social media επέλεξε να περιγράψει το περιστατικό ως scraping δεδομένων αντί για hacking, ώστε να αποφύγει την ενεργοποίηση νόμων και κανονισμών σε διάφορες δικαιοδοσίες, που απαιτούν από τις εταιρείες να αναφέρουν data leaks τόσο στις ρυθμιστικές αρχές όσο και στο κοινό.