Hanno davvero rubato dati alla Cina?

Un utente, celato dietro allo pseudonimo ChinaDan, ha dichiarato di avere sottratto informazioni personali di un miliardo di cittadini cinesi in quella che si profila come una delle maggiori violazioni di dati registrati in questi anni.

Ci sono alcune cose che stonano in questa storia. L'enorme archivio, di 23 terabyte di dati, è stato messo in vendita sul darkweb per 10 bitcoin, circa 200.000 dollari. Un prezzo davvero basso. Troppo basso. Non solo: da Pechino al momento tacciono anche perché, qualora la violazione venisse confermata, si tratterebbe della più grave nella storia della Cina.

Vero o no?

I dubbi però aleggiano. Un furto di dati così importante in casa dei cinesi che controllano in maniera maniacale la loro rete? Come è stato possibile? Partiamo da quel che sappiamo.

“Quando si tratta di una violazione di dati di questa portata, è quasi impossibile verificare la veridicità di ogni elemento. Tuttavia, sulla base di un campione di dati, le prime analisi indicano che la violazione sia in qualche modo credibile. Al momento non è ancora chiaro se i dati provengano da un unico database, da database collegati o non correlati, il che significa che il numero di cittadini interessati potrebbe essere molto inferiore al numero degli elementi effettivamente trapelati”, un commento a cura di Toby Lewis, Global Head of Threat Analysis di Darktrace.

“Interessante è il prezzo di vendita sul darkweb, decisamente basso, con i dati offerti per soli 10 bitcoin (200.000 dollari), che suggerisce che l'hacker potrebbe voler vendere i dati a più acquirenti senza esclusiva, piuttosto che a un unico soggetto. Il valore dei dati personali varia anche a seconda dei cittadini e in gran parte si basa sulla capacità di monetizzare i dati attraverso il furto d'identità e la frode, con nazioni come Regno Unito e Stati Uniti che in genere richiedono un prezzo più alto”, continua Toby Lewis. “Uno degli elementi più interessanti della vicenda è la notizia che le stesse istituzioni stanno cercando di arginare la discussione riguardo alla violazione, il che potrebbe screditare il governo in quanto fonte presunta del data breach. Questo potrebbe essere un'indicazione della veridicità delle affermazioni, ma potrebbe anche essere solo un tentativo del Governo cinese di reprimere notizie potenzialmente dannose”, chiude l’esperto

Chi ruba i dati a chi?

Ripartiamo da qui, dal (potenziale) furto di dati in casa cinese. La più istantanea delle battute potrebbe dire che è stata la reazione del ‘karma’. Attenzione, le virgolette non sono qui a caso. L’ironia è una cosa seria. Verso la Cina non sono mai mancate le preoccupazioni sul trattamento dei dati degli utenti occidentali da parte delle loro aziende (ricordate TikTok che ad aprile è uscita con una nuova policy per rassicurare proprio gli iscritti europei?), ma soprattutto per l’uso della rete che viene imposto a livello governativo. Non si parla solo del “grande firewall” in cui sono (rin)chiusi gli utenti internet cinesi, ma anche delle recenti accuse per uno degli attacchi informatici più grandi di questi anni. Era lo scorso settembre quando la Cina fu messa nel mirino dagli Stati Uniti come responsabile del colossale attacco informatico che aveva colpito, a marzo 2021, Microsoft Exchange che aziende e organizzazioni in tutto il mondo utilizzano per gestire email e calendari. Pechino si difese parlando di “insinuazioni infondate”, arrivò anche una condanna dalla Nato ma non ci furono né sanzioni né altre ripercussioni.

La privacy cinese: un ulteriore controllo sui già controllati

In questo contesto può far sorridere l’approccio cinese alla privacy. A novembre è entrata in vigore in tutto il territorio la cosiddetta PIPL (Personal Information Protection Law) ovvero una nuova legislazione che punta a regolamentare la protezione dei dati, stabilendo regole precise sul loro trasferimento: regole che hanno un rilevante impatto sulle società che operano in Cina, tanto che alcune aziende straniere hanno lasciato quel mercato..

I dati dei cinesi quindi sono importanti. Chissà come reagirà il governo di Pechino all’inchiesta del Wall Street Journal che, con certosina pazienza, sta dimostrando la validità del data breach chiamando alcuni dei numeri di telefono che sono indicati nel famoso file in vendita… violazione della privacy o il timore di far scoprire che anche il Re è nudo?

Bisogna sempre ricordarsi che la Cina e le democrazie occidentali hanno due fini opposti da realizzare tramite la rete: se una violazione dei dati nella nostra società ha un significato che tocca le persone nel loro intimo, per i governanti cinesi è perfino peggio. L’obiettivo di Pechino, infatti, è quello di digitalizzare il paese per realizzare una forma avanzata di “controllo in tempo reale”: una violazione del loro sistema diventa un attentato contro lo Stato. Come quelli di cui spesso vengono accusati. Paradossale.