Il paese più ossessionato al mondo dal controllo dei dati personali sarebbe finito nel mirino di un hacker. Un pirata informatico ha messo in vendita sul web i dati di un miliardo di cittadini cinesi prelevati dai server della polizia di Shanghai. L'hacker anonimo, identificato solo come "ChinaDan", ha pubblicato la scorsa settimana sul sito web “Breach Forums” l’annuncio della vendita di oltre 23 terabyte di dati per 10 bitcoin, equivalenti a circa 200mila dollari. 

Se il furto di dati venisse confermato dalle autorità, si tratterebbe di una delle più grandi fughe di dati personali mai registrate nella storia. Le autorità cinesi, interpellate da diverse testate giornalistiche internazionali, si trincerano dietro un muro di silenzio, in attesa di prendere provvedimenti sul caso e, probabilmente, risalire all’identità dell’hacker.

La fuga del leak

Il criminale informatico, nel suo post, ha reso accessibile un’anteprima di circa 750 mila voci contenenti nomi, numeri di telefono e altre informazioni sensibili di cittadini cinesi. Il database comprende i registri della polizia di crimini avvenuti in quasi due decenni, che vanno dal 2001 al 2019. Sebbene la maggior parte delle voci riguardino controversie civili, ci sono anche casi penali che vanno dalla frode allo stupro.

Non sono ancora note le modalità con cui il pirata informatico è venuto in possesso del dataset, ma l’hacker sostiene di aver ottenuto i dati accedendo ai sistemi di Aliyun, una sussidiaria di Alibaba Group che offre servizi di cloud computing. 

Stando a quanto scrive la statunitense CNN, la vasta raccolta di dati personali di cittadini cinesi era pubblicamente accessibile tramite un collegamento backdoor non protetto - porte di comunicazione costituite da righe di codice informatico, grazie alle quali un utente può accedere da remoto all’interno di siti web e computer, senza avere alcun accesso autorizzato - già dall'aprile 2021, secondo LeakIX, un sito che rileva e indicizza i database esposti online. Un ampio spazio temporale di 14 mesi in cui migliaia di utenti possono aver avuto accesso o scaricato il database contenente i dati sensibili del 70 per cento della popolazione cinese. 

Vinny Troia, un ricercatore di sicurezza informatica e fondatrice della società di intelligence del dark web Shadowbyte, ha raccontato alla CNN di aver scoperto il “pacchetto” di dati lo scorso gennaio, facendo presagire quindi che qualsiasi utente esperto avrebbe potuto cercare o ottenere il dataset. 

Gli esperti informatici vogliono ora capire se il libero accesso al database derivi da una svista oppure da una scelta dei proprietari del database per garantire la condivisione dei dati tra un gruppo ristretto di persone. O, peggio, da un bug di un sistema dell’agenzia governativa. 

Incerta la veridicità del database

Sono tanti i dubbi sull’autenticità dei contenuti del database. C’è chi però ha provato a mettersi in contatto con le persone i cui dati sono presenti nel “pacchetto” messo in vendita dall’hacker “ChinaDan”.

Il quotidiano statunitense Wall Street Journal ha chiamato una decina di persone, i cui nomi sono presenti nel dataset, che hanno confermato la veridicità dei dati personali e anche dei casi per cui sono finiti nel registro della polizia di Shanghai. Una donna, allarmata dall'accuratezza dei dettagli trapelati, ha chiesto se le informazioni su di lei provenissero dall'iPhone di cui aveva denunciato il furto nel 2016.

La testata statunitense ha provato a chiamare altri numeri telefonici, che però sono risultati non validi o inattivi.

Cosa intende fare la Cina

Pechino al momento temporeggia, mentre la macchina censoria è al lavoro per cancellare dai social network gli hashtag e le discussioni virali sul tema. Il governo cinese, ossessionato dal controllo dei dati degli utenti del web, rischia di finire al centro di un’animata polemica interna. 

Negli ultimi anni, Pechino ha introdotto una ferrea regolamentazione per garantire la protezione delle informazioni personali, prendendo di mira i colossi digitali, come Alibaba, Tencent o Didi. Il Partito comunista cinese ha colto recentemente i malumori dell’opinione pubblica sulle costanti violazioni di dati personali delle big tech per definire una cornice normativa di riferimento sotto il controllo della Cybersecurity Authority of China (Cac).

Nell’agosto del 2021, il Comitato permanente dell'Assemblea nazionale del popolo ha approvato la Personal information protection law (Pipl), entrata poi in vigore il 1° novembre dello scorso anno, stabilendo regole su come i dati personali dovrebbero essere raccolti, utilizzati e archiviati. 

La norma sulla protezione dei dati personali (molto simile al Regolamento generale sulla protezione dei dati dell'Unione europea, il Gdpr, in vigore dal 2018) ha introdotto la definizione di "informazioni personali" e "trattamento delle informazioni personali" (anche in ambito territoriale, in quanto la Cina non vuole consentire la trasmissione di dati sensibili all'estero). 

Gli utenti devono dare consenso al trattamento dei dati e, a differenza del Gdpr europeo, questo deve essere separato (previsto dall’articolo 39 del testo), in particolare se un'entità di trattamento condivide informazioni personali con altre entità, le divulga pubblicamente, le trasferisce all'estero o le elabora. La mancata conformità alle regole potrebbe determinare per le aziende sanzioni pecuniarie o l’inserimento in una black list del governo.  

La sicurezza dei dati generati in Cina, il paese più popolato del mondo, è di fondamentale importanza per il governo di Pechino. Questa volta però è la Cina che subisce il più importante attacco hacker.