Sommario
Un grave caso di esposizione dati ha interessato Zhefengle, un negozio di e-commerce cinese specializzato nell’importazione di merci dall’estero, che ha lasciato una base dati contenente milioni di numeri di identità di cittadini cinesi accessibile online senza protezione da password.
Falla di sicurezza scoperta da un ricercatore
Viktor Markopoulos, ricercatore per CloudDefense.ai, ha scoperto la base dati contenente oltre 3.3 milioni di ordini effettuati tra il 2015 e il 2020. Oltre ai numeri di identità, la base dati includeva indirizzi di spedizione, numeri di telefono e, in molti casi, copie delle carte d’identità dei clienti, come verificato da TechCrunch.
Rischi per la privacy dei consumatori cinesi
In Cina, per importare merci è necessario verificare l’identità del consumatore, e non è insolito che i negozi richiedano il caricamento di una copia della carta d’identità. Non è chiaro per quanto tempo la base dati sia stata esposta, ma era accessibile a chiunque conoscesse l’indirizzo IP della base dati, semplicemente utilizzando un browser web.
Intervento e risposta del negozio online
Dopo essere stato contattato da TechCrunch, il negozio ha reso inaccessibile la base dati. I proprietari hanno risposto all’avviso confermando che “La vulnerabilità è stata affrontata tempestivamente. Stiamo attualmente indagando sulle cause internamente.”
