Due motori di ricerca per il web, sviluppati dal gigante cinese della tecnologia internet Baidu hanno trasmesso i dati sensibili attraverso la rete Internet, mettendo la privacy di milioni di utenti fortemente a rischio.
Baidu ha risposto prontamente alla minaccia rilasciando software, che dovrebbe chiudere le falle del sistema, ma i ricercatori dicono che nonostante l’intervento dell’azienda ancora molti problemi restano insoluti.
L’analisi è stata condotta da Citizen Lab, un gruppo di ricerca dell ‘Università di Toronto, in Canada. I ricercatori canadesi hanno incentrato la loro attenzione sulle versioni di Windows e Android di Baidu, rilevando che i dati sensibili sono trapelati attraverso le migliaia di applicazioni che utilizzano il Baidu SDK (software development kit).

Citizen Lab ha rilevato che sono stati messi a rischio i termini di ricerca degli utenti, gli indirizzi dei siti web visitati e che gli indirizzi MAC (Media Access Control) dei dispositivi sono stati inviati al server di Baidu senza l’utilizzo della crittografia SSL/TLS , svelando anche le coordinate GPS degli utenti in rete. In poche parole tutti i dati sensibili disponibili, cibo prelibato degli hacker, ma non solo per essi, ovviamente.
Altre informazioni sensibili, come numeri IMEI (International Mobile Station Equipment Identity) e anche i numeri di serie del disco rigido sono stati trasmessi tramite una crittografia debole, facile da penetrare. Inoltre migliaia di applicazioni mobile, che utilizzano l’analisi Mobile analytics SDK di Baidu trasmettono le stesse informazioni sensibili alla società.

E’ ben conosciuto il fatto che il governo cinese applica una rigorosa sorveglianza sull’uso di Internet, proprio come da tirannia cui la Cina e solita ormai; e secondo tali imposizioni Baidu può essere obbligato a consegnare i dati degli utenti ai servizi segreti e alle forze dell’ordine. La raccolta dei dati è usata per scovare soprattutto coloro che si oppongono alle politiche del governo, come facevano i regimi del passato.
“Mentre le aziende di Internet raccolgono spesso i dati personali dell’utente per la fornitura normale ed efficiente dei servizi, non è chiaro il motivo per cui Baidu Browser raccolga e trasmetta una tale vasta gamma di dati sensibili sui suoi utenti“, chiede, senza ricevere risposta, il rapporto dei ricercatori canadesi.
“Qualsiasi applicazione che utilizza questo SDK per le statistiche e il monitoraggio invia messaggi ai server di Baidu“, dice il rapporto.
Ovviamente i funzionari Baidu non sono stati disposti a rilasciare commenti.
Baidu ha comunque fatto sapere che ha migliorato la sicurezza sulla base dei risultati dei ricercatori. Per esempio, ha detto che i dati trasmessi dal browser di Android sarebbero stati completamente crittografati entro la fine di questo mese, e per il browser di Windows entro l’inizio di maggio.
Il tutto resta un chiaro errore di sistema o cela necessità ziendali che vanno oltre i diritti della privacy?