你是不是经常去星巴克喝咖啡?是不是也加入了星巴克会员?如果你在新加坡,或许你的个人数据可能已经被泄露到暗网上,甚至被人拿去卖钱了!
新加坡星巴克332,774名顾客的个人数据,包括姓名、地址、电话号码、电子邮件地址、出生日期等,是由新加坡星巴克聘请的一家忠诚度营销机构Ascentis管理的,但由于Ascentis的疏忽和安全漏洞,导致数据被恶意行为者窃取和出售。
图源:脸书
新加坡个人数据保护委员会(PDPC)对此事件进行了调查和裁决,判处Ascentis罚款10,000新元,同时新加坡星巴克自愿承诺加强其数据保护措施,以避免类似事件的再次发生。
那么,这起数据泄露事件是如何发生的呢?
01 数据泄露的原因
Ascentis是一家机构,被资深行业营销人员投票选为”新加坡屡获殊荣的忠诚度营销(机构)之一”,总部位于新加坡,自2014年起就为新加坡星巴克提供了其忠诚度计划的支持。2020年,新加坡星巴克又委托Ascentis开发和维护其电子商务平台,让顾客可以在网上购买星巴克的产品。
图源:脸书
为了完成这个项目,Ascentis又聘请了一家越南的软件开发公司Kyanon Digital,为其提供额外的人力和技术支持。Ascentis给Kyanon的员工分配了一些具有完全管理权限的电子商务平台账户,这些账户可以访问和导出存储在平台中的顾客数据。
然而,Ascentis并没有对这些账户进行有效的管理和监控,当一名Kyanon的员工离开公司时,他的账户并没有被禁用,而是被其他Kyanon的员工继续使用。更糟糕的是,这些账户的凭证被存储在一个共享的Google表格中,而且没有启用多重身份验证,这就给恶意行为者提供了可乘之机。
在2020年9月10日至13日之间的某个时候,恶意行为者利用其中一个账户登录了电子商务平台,授予了其他账户管理权限,收集了332,774个顾客的个人数据,并将这些数据导出到一个外部电子邮件地址,这些数据随后被放在暗网的一个论坛上出售,价格为0.1比特币(约合6,000新元)。
02 数据泄露的发现和处罚
这起数据泄露事件是在2020年9月13日被新加坡计算机应急响应小组(SingCERT)发现的,SingCERT随即通知了PDPC,新加坡星巴克和Ascentis在9月15日和16日分别向PDPC提交了数据泄露通知,并展开了调查和补救措施。
图源:脸书
PDPC在对此事件进行了深入的调查后,于2021年11月10日发布了判决,认定Ascentis违反了新加坡《个人数据保护法》(PDPA)的保护义务,即未采取合理的安全措施来保护顾客的个人数据免受未经授权的访问、收集、使用、披露、复制、修改或删除。
PDPC指出,Ascentis在以下方面存在过失:
未及时禁用已离职员工的账户,导致账户被滥用;未对具有管理权限的账户进行适当的监控,导致账户被恶意行为者篡改;
未对账户凭证进行安全的存储和传输,导致账户被恶意行为者窃取;未启用多重身份验证,导致账户被恶意行为者轻易登录。
PDPC认为,Ascentis的这些过失是严重的,因为它们涉及了大量的顾客数据,而且这些数据是敏感的,可能会被用于诈骗或其他犯罪活动。因此,PDPC判处Ascentis罚款10,000新元,以惩戒其违规行为,并警示其他组织注意数据保护的重要性。
同时,PDPC也考虑了Ascentis的一些减轻情节,Ascentis配合了调查,并迅速采取了补救措施,例如重置账户密码、删除外部电子邮件地址、联系暗网论坛的管理员删除数据等;
Ascentis没有从数据泄露中获得任何利益,也没有故意或恶意地泄露数据;Ascentis承诺改善其数据保护措施,例如增加账户的监控、限制账户的权限、加强账户的身份验证等。
新加坡星巴克虽然没有直接参与数据泄露,但也承认了其在数据保护方面的不足,并自愿承诺了实施以下的改进措施:
◎ 定期审计Ascentis的数据保护措施,确保其符合PDPA的要求;与Ascentis签订数据保护协议,明确双方的责任和义务;
◎ 建立数据保护委员会,负责监督和执行数据保护政策和流程;提高员工和顾客的数据保护意识和能力,通过培训、沟通和教育等方式。
PDPC表示,新加坡星巴克的这些承诺是积极的,体现了其对数据保护的重视和责任感,因此,PDPC没有对新加坡星巴克采取进一步的执法行动,但仍然要求其定期向PDPC报告其改进措施的执行情况。
图源:脸书
数据保护不是一件小事,而是关系到每个人的隐私和安全的大事,无论是个人还是组织,都应该重视数据保护,遵守相关的法律法规,采取合理的安全措施,防止数据泄露的发生和危害。
