Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Recopilaron datos privados de 1.000 millones usuarios de Alibaba


El gigante chino de comercio electrónico con presencia también en España, fue "hackeado", en realidad usaron web scraping para rastrear los datos igual que con la filtración de 533 millones de teléfonos de Facebook. Alibaba, la matriz de AliExpress y AliPay, propiedad del multimillonario Jack Ma. Según las primeras informaciones, habría 1.200 millones de datos de usuarios afectados.



Alibaba sufre una fuga de miles de millones de datos de nombres de usuario y números de teléfonos móviles

El medio chino 163.com informó del caso la semana pasada y hoy fue recogido por el Wall Street Journal.

Alibaba ha sido víctima de una operación de scraping el pasado verano. Esta operación la ha llevado a cabo una empresa de consultoría de marketing externa, que habría estado recopilando los datos de Alibaba, incluyendo nombres de usuario, UID del comprador, y números de teléfono.

  • Alibaba ha sufrido el robo de los datos de más de 1.000 millones de usuarios por parte de una consultora. Extrajo más de mil millones de datos de los usuarios y compradores desde 2019

Más de tres años de cárcel por el delito

La información se ha desvelado a través de un caso judicial en China, cuyos documentos han sido expuestos y han revelado esta filtración. El ataque ha afectado en concreto a Taobao, propiedad de Alibaba, y uno de los portales de compra online más importantes de China. Este ataque fue perpetrado por un empleado de la empresa, que ha sido condenado a tres años de cárcel y tres meses de cárcel junto con su empleador, además de pagar una multa de 58.000 euros.

En total, se habrían recopilado más de mil millones de datos, aunque no hay evidencias de que éstos fueran vendidos a otras empresas, y por tanto ninguno de los usuarios de la compañía ha sufrido robos de dinero.

Taobao afirma que ellos dedican una gran cantidad de recursos para combatir todo tipo de técnicas de scraping en su plataforma para proteger la seguridad y privacidad de los datos. Por ello, en cuanto descubrieron que éste se estaba produciendo, lo pusieron en conocimiento de las autoridades, ya que hacerlo es ilegal; sobre todo después de que China quiera reducir el poder y la cantidad de información que tienen los gigantes tecnológicos en el país.

De hecho, a partir del 1 de septiembre, el gobierno chino podrá cerrar o multar a compañías que no gestionen correctamente datos importantes de los usuarios, donde además están haciendo una ley específica para proteger la información personal y que se implementará este mismo año.

AliExpress no se ha visto afectada

Tras conocerse la filtración, las acciones de la empresa han caído un 1,5%, a pesar de que «sólo» ha afectado a Taobao, y no a la empresa matriz ni a las otras filiales. Así, AliExpress no se habría visto afectada por esta filtración, por lo que todos los datos de esas cuentas están a salvo de momento, y no hay que contactar con atención al cliente de AliExpress pidiendo explicaciones.

Por tanto, no se trata de un hackeo al uso, sino de una filtración de datos. El problema es determinar quién es el culpable de que una empresa externa pudiera acceder a esos datos de los usuarios. El acusado afirma que usó un rastreador y que no «omitió, descifró o destruyó» ninguna protección, por lo que simplemente se aprovechó de un fallo de diseño de Taobao. Sin embargo, desde Taobao afirman que sí se rompió cifrado y protección, por lo que no sabremos finalmente de quien fue la culpa, aunque sí conocemos el delito y la condena final a quien lo perpetró.

Web Scraping

Esta técnica consiste en rastrear ("raspado") de información (en esta caso con información privada) de páginas web con el objetivo de almacenarla. Lógicamente, no se hace de forma manual , se automatiza mediante software.

Ambos informes afirman que un desarrollador creó un rastreador que pudo llegar debajo de la información disponible para el ojo humano en Taobao, y que el rastreador funcionó durante varios meses antes de que Alibaba se dieran cuenta.

Alibaba notó la actividad en julio de 2020. Alibaba notificó a las autoridades, se inició una investigación y el asunto aterrizó en el Tribunal Popular del Distrito de Suiyang, que en mayo condenó a un desarrollador y a su empleador por levantar los datos.

Afortunadamente, los delincuentes parecen no haber compartido los datos, sino que los han acumulado para sus propios fines.

Las nuevas reglas de privacidad de Beijing prohíben las aplicaciones que recopilan datos innecesarios y requieren un servicio gratuito sin sorbos de datos

Por ejemplo en caso de la famosa filtración de 533 millones de teléfonos de Facebook utilizaron una API de Facebook para ir probando combinaciones de teléfonos y si la búsqueda daba resultado de un usuario se emparejaba número de teléfono con el ID usuario de Facebook


Recomiendo la lectura de:


Según los informes, Alibaba ha confesado haber cometido errores, un enfoque bastante diferente al que mostró Facebook cuando reaparecieron noticias de más de 500 millones de registros de clientes raspados en abril de 2021

Fuentes:
https://www.bloomberg.com/news/articles/2021-06-16/alibaba-victim-of-huge-data-leak-as-china-tightens-security

https://www.theregister.com/2021/06/16/alibaba_tabao_scraped_data_leak/

Vía:

https://www.adslzone.net/noticias/seguridad/alibaba-hackeo-taobao-datos-usuarios/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.