更新應用後出現漏洞,導致2萬多名GrabHitch司機和乘客的個人資料外泄,私召車業者Grab被個人資料保護委員會罰款1萬元。Grab也爲發生在去年8月的事故道歉。
根據個人資料保護委員會本月10日在官網公布的裁決書內容,共有2萬1541名司機和乘客的個人資料,包括姓名、付款記錄、住址、車牌和接送地點等詳情外泄。
個人資料保護委員會副專員楊子健指出:“考慮到Grab每天處理大量個人資料,這個情況非常令人擔憂。”
Grab受詢時指出,確保數據安全和保障隱私對公司至關重要,公司對讓用戶失望感到抱歉。發言人強調,公司在發生事故當天就立即采取行動保護用戶的資料,並主動呈報給個人資料保護委員會。
“爲了確保不會重蹈覆轍,我們也在之後采取更嚴謹的措施,尤其是與信息科技測試相關的過程,同時也更新管制程序,並檢討應用舊版本和源代碼。”
根據裁決書內容,爲了修補應用內出現的漏洞,Grab于去年8月30日更新應用,應用內的緩存機制卻無法與新版本兼容。這導致緩存機制無法分辨個別司機,應用在更新之後的每10秒鍾,向所有司機發送相同內容。
Grab在收到司機反饋後立即撤回最新版本,當時應用已更新大約40分鍾。初步調查顯示,只有5651名司機受影響,但公司進一步的調查卻發現,有2萬多名司機和乘客的個人資料面對遭盜用的風險。
爲防止司機挪用他人的賬戶余額,Grab也將支出現金交易的最低金額增加至20萬元,並在隔天推出與緩存機制兼容的新應用版本。
楊子健指出,Grab並未采取嚴謹措施保護用戶個人資料,使得這些資料面臨遭外泄或盜用的風險。“這是業者第二次犯下類似錯誤,雖然這次出事的是另一個系統,不過還是非常嚴重的事故。”
去年6月,Grab未經授權即通過營銷電郵外泄超過12萬名用戶的姓名和手機號碼,被罰款1萬6000元。
個資保護委員會:更新應用前 Grab未充分了解新版本影響
委員會也發現,Grab更新應用前,未充分了解最新版本會如何影響現有功能和系統,也未展開任何模擬測試。
“考慮到有大量GrabHitch司機,業者應該在更新應用前,先模擬多名用戶同時或相繼使用新版本的情況。測試也應該包括緩存機制會如何影響新版本運作的評估,因爲該機制會直接影響到司機收到的資料。”
楊子健強調:“在更新系統前務必進行模擬測試,以允許機構及時探測並糾正問題,防止個人資料外泄。”
委員會也下令Grab在120天內實行新措施,規定公司必須一開始就將個人信息保護的需求通過設計嵌入系統中。