Alibaba tem mais de 1 bilhão de dados de clientes roubados durante 8 meses

Em oito meses de varredura, um desenvolvedor de software — cujo sobrenome é Lu — conseguiu extrair um pacote com 1,1 bilhão de dados de usuários do Taobao, o site de comércio eletrônico do Alibaba na China. Entre as informações coletadas estão nomes, números de celular e comentários de clientes. Cerca de 925 milhões de consumidores usam a plataforma pelo menos uma vez por mês, de acordo com a empresa.

• Mais um? Novo vazamento expõe dados de 102 milhões, incluindo Bolsonaro
• Vazamento expõe 1,7 TB de dados dos clientes da fintech brasileira iugu

Para obter os dados, o criminoso instalou no site, em novembro de 2019, um software de rastreamento criado por ele mesmo. O Alibaba só percebeu a ação meses depois. Agora, a corte popular do distrito chinês Suiyang informou que o invasor repassou as informações coletadas para seu empregador — que oferecia promoções aos usuários do Taobao. Ambos foram investigados e condenados a prisão por mais de três anos cada. Além disso, eles têm de pagar multas de 100 mil yuans (R$ 78 mil) e 350 mil yuans (R$ 273 mil) por “violar dados pessoais”.

Segundo uma porta-voz do Alibaba, as informações não foram vendidas e não houve prejuízo econômico. O criminoso não conseguiu senhas dos usuários, mas parte dos dados obtidos, como telefones, não são públicos no site — o que pode ser considerado motivo de preocupação. “Na China, o cliente é obrigado a registrar seus números de celular com seu nome real — isso faz que esse dado seja considerado como informação pessoal”, explica a advogada Annie Xue, do escritório chinês GEN.

A exposição de dados de consumidores se tornou comum na China recentemente, e as informações geralmente são vendidas no mercado ilegal por centavos da moeda local. Isso levou a um movimento que luta pela privacidade no país. Na semana passada, uma nova lei relacionada à segurança digital foi aprovada por lá. A norma se junta a outras regras baseadas no Regulamento Geral de Privacidade de Dados (General Data Privacy Regulation – GDPR) — que também inspirou a Lei Geral de Proteção de Dados (LGPD) brasileira — para reforçar outras diretrizes sobre o tema.

O Alibaba não foi penalizado na sentença, mas, segundo You Yunting, um dos sócios do escritório de advocacia Shanghai Debund Law Offices, pode vir a ser acionado com base na lei chinesa de cibersegurança. A companhia não comentou se informou os usuários sobre o incidente.

Fonte: The Wall Street Journal