Cyberthreat.id - Celah keamanan pada situs belanja Taobao yang merupakan bagian dari Alibaba Group membuat seorang pengembang perangkat lunak Tiongkok selama delapan bulan berhasil mengumpulkan lebih dari 1 miliar informasi pengguna sebelum Alibaba menyadari insiden itu.

Hal itu terungkap dalam putusan pengadilan Tingkok seperti dilaporkan Wall Street Journal pada Selasa (15 Juni 2021).

Pengembang perangkat lunak itu mulai menggunakan perangkat lunak perayapan web (web crawler) yang ia rancang di situs Taobao mulai November 2019. Informasi yang dikumpulkan termasuk ID pengguna, nomor ponsel, dan komentar pelanggan, menurut putusan yang dirilis bulan ini oleh pengadilan distrik di provinsi Henan, China tengah.

Ketika menyadari data pengguna Taobao telah bocor, Alibaba melaporkannya ke polisi, kata pengadilan.

Seorang juru bicara mengatakan Alibaba secara proaktif menemukan dan menangani insiden tersebut dan bekerja sama dengan penegak hukum untuk melindungi penggunanya.

Dia tidak menjelaskan berapa banyak orang yang terpengaruh. Tidak ada informasi pengguna yang dijual kepada pihak ketiga dan tidak ada kerugian ekonomi yang terjadi, katanya.

Sekitar 925 juta orang menggunakan platform ritel China Alibaba setidaknya sebulan sekali, menurut perusahaan.

Meskipun pengembang tidak memperoleh informasi terenkripsi seperti kata sandi, beberapa data yang disedot, termasuk nomor telepon dan sebagian nama pengguna, tidak ditampilkan secara publik di situs web.

Pakar hukum China mengatakan kebocoran data yang melibatkan nomor ponsel akan memiliki konsekuensi yang lebih luas di China daripada di negara lain. Di China, di mana orang diharuskan mendaftar dengan identifikasi nama asli sebelum mendapatkan nomor ponsel, nomor tersebut dianggap oleh hukum sebagai informasi pribadi, kata Annie Xue, pengacara di firma hukum GEN yang berbasis di Beijing.

Selain itu, konsumen China mendaftar untuk sebagian besar layanan internet yang mereka gunakan dengan ponsel mereka, dan mengetahui nomor ponsel seseorang akan memudahkan aktor jahat untuk mengetahui akun media sosial seseorang dan informasi pribadi lainnya, kata Clement Chen , asisten profesor hukum di Universitas Hong Kong.

Kebocoran data konsumen yang besar telah menjadi hal biasa di China dalam beberapa tahun terakhir, karena peraturan keamanan data negara itu berjuang untuk mengejar kemajuan teknologinya. Informasi pribadi dari kebocoran ini sering dijual di pasar gelap untuk mendapatkan uang receh dan telah menghasilkan gerakan privasi pemula di antara warga China.

Anggota parlemen China telah mendorong lebih banyak pengawasan untuk melindungi data pribadi dengan lebih baik. Pekan lalu, China mengesahkan undang-undang keamanan data baru untuk meningkatkan kontrol Beijing atas aliran data di dalam negeri dan meningkatkan perlindungan data konsumen.

Undang-undang tersebut, bersama dengan undang-undang yang diusulkan yang mirip dengan peraturan perlindungan data Uni Eropa, dimaksudkan untuk memperkuat aturan data seperti undang-undang keamanan siber yang diperkenalkan pada tahun 2017.

Pengajuan pengadilan Henan, tertanggal Mei tetapi dirilis bulan ini, menunjukkan bahwa pengembang perangkat lunak, bermarga Lu, memberikan nomor telepon yang dia kumpulkan kepada majikannya. Majikan, yang mengoperasikan perusahaan yang melakukan promosi untuk penjual di Taobao, menggunakan informasi tersebut untuk menargetkan klien dan mengklaim kupon dari Taobao.

Keduanya masing-masing divonis lebih dari tiga tahun penjara. Bukan hal yang aneh jika putusan pengadilan Tiongkok dirilis ke publik beberapa bulan setelah putusan, dan putusan yang diterbitkan biasanya hanya menyertakan nama keluarga orang.

Meskipun Alibaba tidak disalahkan dalam keputusan tersebut, perusahaan tersebut masih dapat menghadapi hukuman administratif berdasarkan undang-undang keamanan siber 2017, kata You Yunting, mitra senior di Kantor Hukum Debund Shanghai. Alibaba menolak berkomentar apakah telah memberi tahu pengguna tentang insiden tersebut.

Regulator antimonopoli telah mengenakan rekor denda US$ 2,8 miliar terhadap Alibaba karena menyalahgunakan posisi dominannya di ruang ritel online negara itu.

Perusahaan teknologi global besar termasuk Facebook Inc. juga harus menghadapi kebocoran data. Pada bulan April, Facebook menyalahkan "aktor jahat" karena mengorek data termasuk nama dan nomor telepon lebih dari 530 juta pengguna.

Pakar hukum dan privasi kemudian mengatakan bahwa perusahaan media sosial tersebut memilih untuk menggambarkan insiden tersebut sebagai pengikisan data daripada peretasan untuk menghindari memicu undang-undang dan aturan di berbagai yurisdiksi yang mengharuskan perusahaan untuk melaporkan pelanggaran data kepada regulator dan publik.[]