新加坡:杂货配送服务 RedMart 因未能采取合理的安全措施来保护其拥有的个人数据而被新加坡隐私监管机构罚款 72,000 新元。
2020 年 10 月,RedMart 用户账户的个人信息被发现在在线论坛上出售。这些信息是从客户数据库中窃取的,包括姓名、加密密码、电话号码和部分信用卡号码。
2020 年 9 月,大约 898,791 人的姓名、电子邮件地址和其他个人数据从数据库中被盗,随后在网上出售。
拥有 RedMart 的电子商务平台 Lazada 在当月证实了数据泄露事件,称被盗信息来自 RedMart 专用数据库,该数据库自 2019 年 3 月以来未更新,也未链接到任何 Lazada 数据库。
新加坡个人数据保护委员会 (PDPC) 周一(12 月 19 日)表示,它于 2020 年 10 月 29 日首次收到该事件的通知,随后开始调查。
在列出案件事实、调查和考虑的书面决定中,它指出 RedMart 在 2016 年被收购后着手将其平台与 Lazada 整合。鉴于所需的大量时间和资源,这种整合 - 涉及重新- 相关数据库和应用程序的设计和迁移到属于拥有 Lazada 的阿里巴巴集团的云基础设施 - 是分阶段完成的。
虽然 RedMart 面向客户的网站和移动应用程序已迁移并于 2019 年 3 月停止运营,但 Redmart 的后端系统迁移尚未完成,仍保留在亚马逊网络服务 (AWS) 提供的云存储中。
这与包含客户和卖家个人信息的数据库相关联。PDPC 表示,该数据库未加密,也没有任何访问密码验证要求。
监管机构的调查显示,一名身份不明的威胁行为者在通过受感染的员工账户未经授权访问 RedMart 在 AWS 上的云后,于 2020 年 9 月泄露了数据库。
随后,该数据库——包含大约 898,791 人的姓名、电子邮件地址和其他个人数据——在一个待售的在线论坛上被发现。
虽然受影响的数据库被置于“不同级别的安全控制”之后,例如使用多个访问密钥,但 PDPC 指出,该组织网络架构的复杂性“并没有掩盖其安全安排中的漏洞”。
“在每个防御级别,该组织的系统都存在明显的漏洞,这些漏洞应该得到解决,”它在其判断中写道。
其中包括该公司如何未能对其员工的用户帐户和访问密钥实施合理的访问控制,从而实现对其系统部分的高特权访问,以及如何为受影响的数据库制定单独的身份验证要求。
事件发生后,RedMart 和 Lazada 采取了多项补救措施,例如删除受感染的用户帐户,并对所有受影响的客户和卖家的帐户进行强制注销和密码重置。
这些公司还采取措施,通过对包含个人数据的所有数据库实施数据库身份验证并限制对敏感数据库的访问来防止此类事件再次发生。
PDPC 表示,在保护个人数据方面,没有“放之四海而皆准”的方法。每个组织都应考虑采用合理和适当的安全安排,例如,考虑个人数据的性质以及未经授权的人获取、修改或处置数据对相关个人可能产生的影响。
就 RedMart 而言,它指出,鉴于受影响的个人数据量很大,“组织有责任实施与组织更高级别的安全需求相称的政策和做法,以履行其在保护义务下的义务”数据库。
“出于上述原因,已确定该组织未能实施合理的安全措施来保护受影响的数据库免受未经授权访问的风险,”监管机构表示。
该委员会表示,在做出决定时,它考虑了几个“缓解因素”,例如 RedMart 如何实施迅速的缓解措施、配合调查以及及时、主动地回应委员会的询问。
在得知 PDPC 的决定后,RedMart 寻求减轻罚款,理由是这是它第一次违反《个人数据保护法》,尽管它没有法律义务这样做,但它已自愿通知委员会和受影响的个人所以。
该公司还表示,它不知道涉及受影响个人的个人数据的任何滥用行为。
PDPC 表示,前两个因素已在其初步决定中考虑在内,因此不值得减少罚款。它还排除了该公司关于缺乏个人数据被滥用的观点,将其描述为“既不在这里也不在那里”。
“虽然剥削性使用的证据可能是一个相关的伤害因素,可能与加强经济处罚有关,但反之则不一定正确,”它补充说。
在回应 CNA 的询问时,Lazada 发言人表示,自事件发生以来,RedMart 一直与 PDPC 密切合作,并进一步加强了其数据安全保护措施和做法。
“我们已经从这个更强大的组织中脱颖而出,拥有更好的数据安全实践,并且相信我们的客户数据是安全的,”发言人说。
“随着这件事过去,Lazada 将继续保护我们客户的数据,并将维护客户的安全和信任作为重中之重。”
文章来源:CNA/sk
https://www.channelnewsasia.com/singapore/redmart-fined-s72000-data-breach-lazada-3159496
