Hãng thời trang Singapore bị phạt 24.000 SGD vì vi phạm dữ liệu khách hàng

Theo Ủy ban Bảo vệ dữ liệu cá nhân (PDPC) Singapore, hãng thời trang này không đưa ra được các biện pháp bảo mật hợp lý để bảo vệ dữ liệu cá nhân, bao gồm họ tên, số điện thoại và chi tiết thẻ tín dụng của khách hàng. Cụ thể, một tài khoản quản trị viên được Love, Bonito sử dụng để quản lý trang web thương mại điện tử của mình đã bị một bên thứ ba không xác định sử dụng để truy cập và lấy dữ liệu cá nhân của khách hàng.

Theo điều tra của công ty, các nhà cung cấp giải pháp kỹ thuật số và điều tra viên tư nhân, một mã lập trình trái phép đã được thêm vào trang web, cho phép thông tin thẻ tín dụng của khách hàng được chuyển cho một bên thứ ba không xác định.

Mã này sẽ chạy bất cứ khi nào khách hàng truy cập vào tính năng "thanh toán" trên trang web, khiến dữ liệu thẻ tín dụng của họ được chuyển cho bên thứ ba thay vì nền tảng thanh toán mà Love, Bonito sử dụng.

Vào tháng 11/2019, công ty này đã phát hiện ra trang thanh toán của mình được định cấu hình không chính xác sau khi nhận thấy sự sụt giảm ủy quyền thẻ tín dụng.

Họ không biết rằng khi khách hàng cố gắng thực hiện thanh toán, thông tin thẻ tín dụng đã được gửi đến bên thứ ba thay vì Love, Bonito.

Mặc dù, ngay sau đó, công ty này đã triển khai một bản sửa lỗi nhưng sự cố tương tự vẫn xảy ra vào tháng 12/2019 và công ty đã thực hiện vô hiệu hóa chức năng thanh toán bằng thẻ tín dụng trên trang "thanh toán".

Theo Straits Times, tại thời điểm đó Love, Bonito đã thông báo cho khách hàng trực tuyến của mình qua e-mail và khuyên họ nên kiểm tra với ngân hàng của mình.

Một phát ngôn viên của công ty cũng đã chia sẻ rằng một "số lượng nhỏ" khách hàng của họ đã bị ảnh hưởng. Tuy nhiên "số lượng nhỏ" này không được thông báo chính xác là bao nhiêu.

Trong văn bản thông báo, PDPC cho biết chính sách mật khẩu của Love, Bonito đối với các tài khoản phần mềm quản lý trang web là không đầy đủ. Công ty chỉ áp dụng các cài đặt bảo mật mặc định của phần mềm như độ dài mật khẩu bắt buộc và khóa tài khoản sau một số lần đăng nhập không thành công.

PDPC cho biết mật khẩu của tài khoản quản trị viên - "ilovebonito88" là không an toàn vì đã kết hợp cùng với tên của công ty, khiến nó dễ đoán và dễ bị tấn công brute-force, một phương pháp phổ biến để đoán mật khẩu bằng cách thử một cách có hệ thống kết hợp các ký tự khác nhau thành mật khẩu đúng.

Bên cạnh đó, hệ thống CNTT của hãng thời trang này cũng ghi nhận những điểm yếu như thiếu giám sát bảo mật cho mạng của công ty, hệ thống không được bảo trì hoặc vá lỗi thường xuyên, điều này có thể đã bị các bên thứ ba lợi dụng để truy cập vào phần mềm quản lý của trang web.

Công nghệ mang đến nhiều tiện ích, nhưng nhiều người dùng có thể đã không nhận thức được sự phức tạp về kỹ thuật đằng sau một trang web thương mại điện tử có vẻ đơn giản nhưng cũng tiềm ẩn cá rủi ro liên quan.

Tuy nhiên, mọi công ty cần có trách nhiệm bảo vệ thông tin cá nhân của khách hàng, những người đã đặt niềm tin vào họ. PDPC cũng nhấn mạnh hãng thời trang này cần phải có các biện pháp bảo mật mạnh mẽ và nghiêm ngặt hơn./.