Brecha de datos masiva en Alibaba: millones de registros confidenciales comprometidos

Taobao, subsidiaria del gigante e-commerce Alibaba fue víctima de un incidente de brecha de datos que habría comprometido registros confidenciales como nombres de usuario y números de teléfono móvil. Esta información fue recolectada empleando una herramienta de rastreo desarrollada por un comercializador afiliado.

Los reportes indican que un desarrollador no identificado habría creado un rastreador capaz de operar sin ser detectado por los mecanismos de seguridad habilitados en los sitios web. Este rastreador habría pasado desapercibido por meses.   

Por otra parte, el equipo de investigadores de 163.com menciona que este rastreador podría haber sido controlado por una compañía que genera ingresos de marketing en los sitios web afiliados a Taobao empleando un sitio web que fue eliminado en noviembre de 2019. No fue sino hasta 2020 que Alibaba detectó la actividad maliciosa y presentó un reporte a las autoridades para iniciar una investigación.

La noticia del incidente se produce en un momento convulsionado, ya que China busca cada vez más controlar a las grandes compañías web que operan en su territorio con el fin de asegurarse de que solo recolecten la información necesaria de sus usuarios.

Las autoridades chinas han determinado que Alibaba y Taobao no infringieron ninguna ley de protección de datos, no obstante, las empresas aún podrían enfrentar sanciones por sus débiles mecanismos de seguridad, ya que un rastreador es algo con lo que una compañía de ese nivel debería saber lidiar.

Según los informes, Alibaba reconoció haber cometido un error y está preparando un informe completo de las medidas que se tomarán para abordar el incidente. Este es un enfoque muy distinto al que adoptan otras grandes compañías ante un incidente como este; Facebook, por ejemplo, suele tomarse su tiempo para responder a estos reclamos, prefiriendo que los usuarios olviden que su información se vea comprometida.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).