La fuite d'informations via la plus grande plateforme de paiement tierce du pays a suscité un tollé général sur la sécurité des transactions à un moment où Internet est en plein essor en tant que moyen majeur pour faire ses emplettes.
" Les données révélées concernent seulement les informations de transaction avant 2010. Elles excluent les informations sensibles telles que les noms d'utilisateur ou les mots de passe qui ont été chiffrés par une méthode sophistiquée qui n'est pas accessible à tous", d'après une déclaration d'Alipay publiée dimanche.
Alipay a présenté ses excuses pour cette fuite, en annon?ant qu'il en a déjà prévenu les régulateurs chinois et va tenir le public informé de l'enquête en temps voulu.
Alipay représente 61% du marché de paiement tiers du pays, selon la société de conseil iResearch. Actuellement, environ 200 banques et 400 000 vendeurs d'e-commerce ou d'unités en ligne de magasins traditionnels acceptent Alipay comme canal de paiement en ligne, selon les statistiques de la société.
Les médias ont révélé plus t?t que la police a arrêté un ancien employé d'Alipay, qui a avoué à la police qu'il avait téléchargé 20 giga-octets de renseignements personnels en 2010 – comme des noms d'utilisateurs, des numéros de téléphone cellulaire, des adresses mail, des adresses et dossiers d'achat - que ses complices les avaient vendu à des tiers. Les initiés de l'industrie ont déclaré que ces informations étaient utiles pour certains sites de commerce électronique qui ont besoin de localiser leurs clients potentiels.
"Je suis inquiet à l'idée une possible fuite de mon adresse, sans parler de mes mots de passe de transaction", a déclaré Wang Hongji , employée d'une entreprise d'assurance de 29 ans qui a normalement plus de 10 000 yuans (1 650 dollars) sur son compte Alipay.
Pour effectuer des transactions en ligne, les clients sont souvent appelés à fournir des renseignements personnels, ce qui rend les clients vulnérables aux menaces à la vie privée et la sécurité de l'information, a déclaré Li Zhi, analyste principal chez la société de conseil Analysis International, basée à Beijing.
? La situation peut même être exacerbée lorsque la transaction porte sur des services multiples dont le paiement est effectué entre un client et un fournisseur de service primaire qui externalisent des services chez d'autres ?, a-t-elle ajouté.
Les organisations et les individuels peuvent déposer une accusation d'actes illicites ou criminels de vol de données électroniques personnelles et de vente de ces données à d'autres, a déclaré Xiao Ling, professeur de droit dans une université de la province du Sichuan .
" Mais quant à savoir si l'ancien employé d'Alipay sera sanctionné pénalement, cela dépend du fait qu'Alipay est considéré ou non comme une institution financière, ce que le droit pénal exige comme condition préalable pour déterminer son crime", a expliqué Ling.
Si c'est le cas, Alipay sera sanctionné pour avoir négligé ce genre de lacune, a-t-il ajouté.
L'incident contraste avec des efforts précédemment faits en juin par Alibaba Group Holding Ltd avec d'autres entreprises de l'Internet, pour créer un pool de ressources commun pour prévenir les fuites de renseignements personnels et éradiquer d'autres exploitations en ligne. Alipay est l'unité de paiement d'Alibaba.
En 2011, une violation massive de données a été signalée sur China Software Developer Network, le plus grand hub de réseau de programmation du pays.
L'incident a provoqué la divulgation de 6 millions de noms d'utilisateurs et mots de passe, soulevant de vastes inquiétudes concernant la sécurité sur Internet.