Singapore phạt RedDoorz vì làm lộ dữ liệu của 5,9 triệu khách hàng

Thụy Thanh| 19/11/2021 09:05
Theo dõi ICTVietnam trên

Ủy ban Bảo vệ Dữ liệu Cá nhân Singapore (PDPC) đã đưa ra phán quyết phạt 74.000 đô la Singapore đối với Commeasure, công ty điều hành trang web quản lý và đặt phòng khách sạn RedDoorz, với lý do không thực hiện các biện pháp bảo mật hợp lý để ngăn chặn việc truy cập trái phép và lấy cắp dữ liệu cá nhân của khách hàng.

Vào tháng 9/2020, một trong những cơ sở dữ liệu của nền tảng này bị tấn công, với ước tính thông tin cá nhân của gần 5,9 triệu khách hàng đã bị rò rỉ - 9.000 trong số đó là người Singapore.

PDPC tuyên bố rằng mặc dù đây là vụ vi phạm dữ liệu lớn nhất xảy ra kể từ khi Đạo luật bảo vệ dữ liệu cá nhân của Singapore có hiệu lực, nhưng khoản tiền phạt thấp hơn nhiều so với các trường hợp trước đó sau khi Ủy ban này cân nhắc những khó khăn đối với lĩnh vực du lịch, khách sạn do đại dịch Covid-19 gây ra.

PDPC nhận được thông báo về vụ việc vào ngày 25/9/2020. Trước đó, Commeasure phát hiện ra việc rò rỉ dữ liệu vào ngày 19/9/2020, sau khi một công ty an ninh mạng của Mỹ thông báo cho công ty này.

Dữ liệu bị ảnh hưởng trong sự cố RedDoorz bao gồm họ tên, số liên lạc, địa chỉ e-mail, ngày sinh, mật khẩu được mã hóa của tài khoản RedDoorz và thông tin đặt phòng của khách hàng. Vì mật khẩu của khách hàng đã được mã hóa, tin tặc sẽ không thể sử dụng chúng trừ khi tìm ra cách giải mã mật khẩu. Điều này làm giảm khả năng kẻ gian có thể sử dụng mật khẩu để xâm nhập vào tài khoản RedDoorz của nạn nhân. Ngoài ra, các tin tặc đã không truy cập hoặc tải xuống số thẻ tín dụng bị che mờ của khách hàng. Tuy nhiên, với các dữ liệu cá nhân khác bị lộ, tội phạm mạng có thể đóng giả là nạn nhân và cố gắng chiếm đoạt các tài khoản trực tuyến khác sử dụng các thông tin tương tự. Các nạn nhân có thể bị nhắm tới bởi hàng loạt tin nhắn rác và các hành vi lừa đảo khác.

RedDoorz sau đó đã gửi email cho khách hàng của mình vào ngày 26/9/2020, thông báo về vụ rò rỉ dữ liệu, khuyến nghị họ thay đổi mật khẩu nhằm phòng ngừa bổ sung và không nên sử dụng cùng một mật khẩu trên các nền tảng kỹ thuật số khác.

Theo một số nguồn tin, một số dữ liệu từ RedDoorz đã được rao bán trên các diễn đàn hacker từ tháng 9 đến tháng 10/2020, và sau đó đã bị xóa.

Tất cả khách hàng của RedDoorz đều đến từ Đông Nam Á và hầu hết dữ liệu bị xâm phạm đến từ thị trường lớn nhất của nó, Indonesia.

PDPC cho biết rằng tin tặc đã truy cập vào dữ liệu của RedDoorz, được lưu trữ trên cơ sở dữ liệu cloud của Amazon, sau khi lấy được một khóa truy cập của Amazon Web Services. Khóa truy cập được nhúng trong một gói ứng dụng Android (APK) được tạo bởi Commeasure vào năm 2015, vốn được dùng để cho phép download công khai và cài đặt ứng dụng RedDoorz.

Vấn đề nảy sinh khi Commeasure đã gắn nhãn sai cho khóa truy cập này là "khóa thử nghiệm", ngoài việc bỏ qua lời khuyên của Amazon Web Service về việc không nhúng khóa truy cập trực tiếp vào đoạn mã. Do đó, công ty chủ quản đã coi APK là "không còn tồn tại" và nó đã bị bỏ qua khi Commeasure thuê một công ty an ninh mạng tiến hành đánh giá và kiểm tra bảo mật trong khoảng thời gian từ tháng 9 tới tháng 12/2019. Bên cạnh đó, một công cụ bảo mật có thể ngăn chặn tin tặc lấy được khóa truy cập cũng không được sử dụng vì APK của RedDoorz được coi là không còn tồn tại. 

PDPC nhận định nếu Commeasure đã kiểm tra APK hoặc khóa truy cập, vụ việc vi phạm dữ liệu có thể đã được ngăn chặn. Các đánh giá bảo mật CNTT do Commeasure thực hiện cũng không đáp ứng các tiêu chuẩn theo quy định của luật. Trong thông báo của PDPC có nêu: "Việc công ty này không đưa gói APK bị ảnh hưởng và khóa truy cập vào quá trình đánh giá an toàn bảo mật cho thấy sự khinh xuất của đơn vị này trong giám sát và quản lý nguồn tài sản CNTT vận hành kinh doanh".

Khi đưa ra khoản phạt 74.000 đô la, PDPC cho biết họ cũng xem xét các yếu tố như các động thái Commeasure đã thực hiện để giải quyết vụ việc như hỉ cho phép các địa chỉ IP trong danh sách cho phép được truy cập vào cơ sở dữ liệu trực tiếp của nó và thiết lập xác thực hai yếu tố cho tất cả các công cụ và tài khoản được các lập trình viên sử dụng.

Singapore phạt RedDoorz vì làm lộ dữ liệu của 5,9 triệu khách hàng - Ảnh 1.

Vào tháng 10/2020, chính phủ Singapore đã đề xuất phạt tới 10% doanh thu hàng năm của một công ty tại Singapore, hoặc 1 triệu đô la Singapore - tùy theo mức nào cao hơn - nếu một công ty bị phán quyết vi phạm dữ liệu. Động thái này của chính phủ diễn ra sau hàng loạt vụ vi phạm dữ liệu ngoài RedDoorz, chẳng hạn như ShopBack, Razer và Shopify. Chính quyền địa phương cũng đã có một số lần vi phạm dữ liệu trong năm 2019, bao gồm việc rò rỉ thông tin cá nhân của hơn 800.000 người hiến máu do xử lý sai dữ liệu bởi một nhà cung cấp dịch vụ của Cơ quan Khoa học Y tế Singapore. Trước đây, mức phạt tối đa đối với vi phạm dữ liệu theo Đạo luật bảo vệ dữ liệu cá nhân có hiệu lực vào năm 2013 là 1 triệu đô la Singapore.

RedDoorz không phải là công ty công nghệ duy nhất phải đối mặt với các cuộc tấn công xâm phạm dữ liệu. Thị trường Tokopedia có trụ sở tại Indonesia, nhà sản xuất PC của Đài Loan, Acer và công ty khởi nghiệp giao hàng tạp hóa có trụ sở tại Ấn Độ, BigBasket cũng đã gặp sự cố tương tự trong hai năm qua.


Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Singapore phạt RedDoorz vì làm lộ dữ liệu của 5,9 triệu khách hàng
POWERED BY ONECMS - A PRODUCT OF NEKO