RedMart didenda $72,000 selepas alamat, sebahagian maklumat kad kredit hampir 900,000 orang bocor

KHIDMAT penghantaran barangan runcit RedMart telah didenda $72,000 selepas Suruhanjaya Perlindungan Data Peribadi mendapati data peribadi hampir 900,000 orang telah dicuri daripada pangkalan datanya pada 2020 dan diiklankan untuk jualan dalam talian.

Maklumat yang dicuri termasuk nama, kata laluan yang dirahsiakan, nombor telefon dan sebahagian nombor kad kredit, kata suruhanjaya itu dalam laporan pada Isnin (19 Disember).

Suruhanjaya itu juga berkata dalam kejadian berasingan pada 2020, data peribadi pengunjung Thomson Medical boleh diakses oleh orang ramai pada platform terbuka.

Penyedia penjagaan kesihatan telah diarahkan untuk menyemak laman web untuk sebarang tanda kebocoran data dan mengambil langkah untuk melindungi datanya.

Mengenai kes RedMart, suruhanjaya itu berkata ia menyiasat perkara itu selepas dimaklumkan pada 29 Oktober 2020, bahawa data peribadi pelanggan RedMart dijual dalam talian.

Suruhanjaya itu menambah RedMart sedang dalam proses menyepadukan platformnya dengan platform dalam talian Lazada selepas diperoleh oleh gergasi e-dagang itu pada 2016.

Laman web pengguna dan aplikasi mudah alih RedMart telah ditutup kepada orang ramai pada Mac 2019, tetapi di sebalik tabir, peralihan kepada sistem Lazada masih dijalankan, dengan tarikh akhir ditetapkan pada Mac 2021.

Data peribadi pelanggan dan penjual RedMart yang disimpan pada sistem RedMart tidak kompleks dan tidak mempunyai sebarang keperluan pengesahan kata laluan untuk akses, kata suruhanjaya itu lagi.

Pada September 2020, penggodam tidak dikenali menggodam pangkalan data RedMart selepas mendapat akses tanpa kebenaran ke sistem awan RedMart melalui akaun anggota kakitangan yang terjejas.

Pangkalan data itu mengandungi nama, alamat e-mel, nombor telefon, alamat kediaman dan butiran sebahagian nombor kad kredit sebanyak 898,791 orang. Ia telah dijual di forum dalam talian.

Dalam penghakimannya, Suruhanjaya Perlindungan Data Peribadi berkata pangkalan data yang digodam dilindungi oleh pelbagai peringkat kawalan keselamatan seperti kunci akses, tetapi menambah bahawa terdapat jurang dalam sistem.

Ini termasuk kegagalan untuk mencipta keperluan pengesahan berasingan untuk pangkalan data yang digodam.

RedMart juga tidak menjalankan semakan pengurusan berkala untuk memastikan akses kepada kekunci yang menjaga maklumat sensitif terhad kepada mereka yang memerlukannya sahaja.

"Ini adalah amalan keselamatan data asas," kata suruhanjaya itu.

Ia menambah: "Kerumitan seni bina rangkaian pertubuhan tidak mengatasi retakan dalam pengaturan keselamatannya - pada setiap peringkat pertahanan, sistem pertubuhan menunjukkan kelemahan yang jelas dan sepatutnya ditangani."

Berikutan kejadian itu, RedMart menetapkan semula kunci akses sistemnya dan menyiasat pangkalan datanya untuk kesan apa yang ditinggalkan oleh penyerang.

Ia juga memaklumkan kepada semua individu yang terjejas mengenai kebocoran data melalui e-mel dan mengeluarkan kenyataan awam.

Sejak itu, ia telah melaksanakan pengesahan dua faktor untuk sistem yang mengandungi data sensitif dan mengalih keluar akaun dan kebenaran yang tidak perlu.

Suruhanjaya Perlindungan Data Peribadi berkata bahawa tiada penyelesaian yang sesuai untuk semua dalam melindungi data peribadi, tetapi setiap pertubuhan harus mempertimbangkan aturan keselamatan yang munasabah dan sesuai.

Memandangkan volum tinggi data peribadi yang terkandung dalam pangkalan data yang terjejas, adalah menjadi tanggungjawab (RedMart) untuk melaksanakan dasar dan amalan yang setara dengan keperluan keselamatan peringkat tinggi pertubuhani," kata suruhanjaya itu.

Dalam laporan berasingan yang dikeluarkan pada Isnin, suruhanjaya itu berkata bahawa Thomson Medical telah gagal mendapatkan data peribadi 44,679 pengunjung pada akhir 2020.

Walaupun tiada bukti kebocoran data, maklumat itu disimpan pada platform yang boleh diakses oleh orang ramai.

Data tersebut termasuk nama pengunjung, butiran kad pengenalan, nombor telefon, dan jawapan mereka kepada soal selidik pengisytiharan kesihatan - maklumat yang dikumpulkan secara meluas di sini pada kemuncak wabak itu.

Maklumat kesihatan peribadi diketahui berguna kepada penggodam kerana data daripada hospital berkemungkinan lebih tepat.

Data tersebut boleh digunakan untuk melakukan penipuan insurans atau membuat tuntutan kewangan palsu.

Thomson Medical memberitahu Suruhanjaya Perlindungan Data Peribadi bahawa pembangun dalam penyedia khidmat kesihatan ini gagal menukar tetapan sistem sehingga membri orang awam akses kepada pangkalan data.

Sejak itu, ia telah membuang fail yang terjejas dan mengambil langkah untuk melindungi pangkalan data, katanya.

Suruhanjaya mengeluarkan arahan tentang cara untuk mengurangkan isu itu dan bukannya denda kewangan kerana ia mengatakan tiada tanda kebocoran data.

Thomson Medical juga perlu mengemukakan pengisytiharkan bahawa ia telah menjalankan usaha mencari tanda-tanda kebocoran di Internet dan Dark Web (akses pada jaringan Internet yang dibuka untuk kegunaan pengendali laman web dan orang tertentu dengan menggunakan sofwe khusus. Identiti mereka tidak diketahui dan tidak boleh dijejak).