Lazada發言人受詢時說,RedMart自這起事件後已與個資委員會緊密合作,進一步加強數據安全保護措施和行動,並強調有信心客戶數據獲保障。
RedMart面向客戶的網站和應用2019年3月完成遷移時,連接至用戶數據庫的後端系統未完全遷移,並儲存于第三方提供的雲端服務。
根據個人資料保護委員會星期一(12月19日)在網站公布的裁決,2016年RedMart被電商平台Lazada收購後,開始分階段遷移系統,與Lazada整合。
2020年9月,有人通過RedMart職員的賬號入侵含有89萬8791名用戶資料的數據庫後,數據庫于10月在網上被兜售。不過,Lazada證實被盜的數據庫自2019年3月就沒有更新,也未連接至母公司的數據庫。
這個2020年被盜取的數據庫含有客戶的名字、地址和信用卡部分號碼,以及賣家信用卡的部分號碼等信息。數據庫隨後在網絡論壇上被兜售。
事發後RedMart和Lazada采取多項補救和預防措施,包括重置所有受影響的賬戶,以及爲所有個人資料數據庫落實認證程序。受影響的用戶同年10月開始陸續收到通知,公司也發布文告披露事件。
不過,康盛醫療聘請的法證調查員並沒有發現任何表明數據已被導出並發布上網的證據,服務器記錄也顯示CSV文件訪問次數有限,並且很可能是投訴人和個資委員會調查時所做的訪問。文件目前已被移除。
康盛醫療2020年也出現數據保護疏漏,使外界可獲取4萬4679名訪客的信息,但沒有充足證據顯示這些資料已外泄。
有鑒于事件影響有限和康盛醫療迅速的補救措施,個資保委會不對康盛醫療進行罰款,只發出指示要求公司搜查網絡確保沒有個人資料公布在網上,並在檢討應用部署程序時,落實啓用前進行安全測試等數據保護措施。
個資委員會星期一公布的裁決顯示,康盛醫療健康申報平台2020年4月16日啓用後,所收取的訪客信息同時儲存在可公開訪問的逗號分隔值(CSV)文件,以及安全的數據庫中。直到同年9月8日,開發人員才糾正軟件代碼,只將信息儲存于數據庫。
平台收集的信息有訪客名字、身份證或護照號碼、診所名字和近期是否有接觸冠病病毒。
網上超市RedMart近90萬名用戶的資料被盜取,平台因未能合理落實保護措施,被罰款7萬2000元。