你是不是經常去星巴克喝咖啡?是不是也加入了星巴克會員?如果你在新加坡,或許你的個人數據可能已經被泄露到暗網上,甚至被人拿去賣錢了!
新加坡星巴克332,774名顧客的個人數據,包括姓名、地址、電話號碼、電子郵件地址、出生日期等,是由新加坡星巴克聘請的一家忠誠度營銷機構Ascentis管理的,但由於Ascentis的疏忽和安全漏洞,導致數據被惡意行為者竊取和出售。
圖源:臉書
新加坡個人數據保護委員會(PDPC)對此事件進行了調查和裁決,判處Ascentis罰款10,000新元,同時新加坡星巴克自願承諾加強其數據保護措施,以避免類似事件的再次發生。
那麼,這起數據泄露事件是如何發生的呢?
01 數據泄露的原因
Ascentis是一家機構,被資深行業營銷人員投票選為」新加坡屢獲殊榮的忠誠度營銷(機構)之一」,總部位於新加坡,自2014年起就為新加坡星巴克提供了其忠誠度計劃的支持。2020年,新加坡星巴克又委託Ascentis開發和維護其電子商務平台,讓顧客可以在網上購買星巴克的產品。
圖源:臉書
為了完成這個項目,Ascentis又聘請了一家越南的軟體開發公司Kyanon Digital,為其提供額外的人力和技術支持。Ascentis給Kyanon的員工分配了一些具有完全管理權限的電子商務平台帳戶,這些帳戶可以訪問和導出存儲在平台中的顧客數據。
然而,Ascentis並沒有對這些帳戶進行有效的管理和監控,當一名Kyanon的員工離開公司時,他的帳戶並沒有被禁用,而是被其他Kyanon的員工繼續使用。更糟糕的是,這些帳戶的憑證被存儲在一個共享的Google表格中,而且沒有啟用多重身份驗證,這就給惡意行為者提供了可乘之機。
在2020年9月10日至13日之間的某個時候,惡意行為者利用其中一個帳戶登錄了電子商務平台,授予了其他帳戶管理權限,收集了332,774個顧客的個人數據,並將這些數據導出到一個外部電子郵件地址,這些數據隨後被放在暗網的一個論壇上出售,價格為0.1比特幣(約合6,000新元)。
02 數據泄露的發現和處罰
這起數據泄露事件是在2020年9月13日被新加坡計算機應急響應小組(SingCERT)發現的,SingCERT隨即通知了PDPC,新加坡星巴克和Ascentis在9月15日和16日分別向PDPC提交了數據泄露通知,並展開了調查和補救措施。
圖源:臉書
PDPC在對此事件進行了深入的調查後,於2021年11月10日發布了判決,認定Ascentis違反了新加坡《個人數據保護法》(PDPA)的保護義務,即未採取合理的安全措施來保護顧客的個人數據免受未經授權的訪問、收集、使用、披露、複製、修改或刪除。
PDPC指出,Ascentis在以下方面存在過失:
未及時禁用已離職員工的帳戶,導致帳戶被濫用;未對具有管理權限的帳戶進行適當的監控,導致帳戶被惡意行為者篡改;
未對帳戶憑證進行安全的存儲和傳輸,導致帳戶被惡意行為者竊取;未啟用多重身份驗證,導致帳戶被惡意行為者輕易登錄。
PDPC認為,Ascentis的這些過失是嚴重的,因為它們涉及了大量的顧客數據,而且這些數據是敏感的,可能會被用於詐騙或其他犯罪活動。因此,PDPC判處Ascentis罰款10,000新元,以懲戒其違規行為,並警示其他組織注意數據保護的重要性。
同時,PDPC也考慮了Ascentis的一些減輕情節,Ascentis配合了調查,並迅速採取了補救措施,例如重置帳戶密碼、刪除外部電子郵件地址、聯繫暗網論壇的管理員刪除數據等;
Ascentis沒有從數據泄露中獲得任何利益,也沒有故意或惡意地泄露數據;Ascentis承諾改善其數據保護措施,例如增加帳戶的監控、限制帳戶的權限、加強帳戶的身份驗證等。
新加坡星巴克雖然沒有直接參與數據泄露,但也承認了其在數據保護方面的不足,並自願承諾了實施以下的改進措施:
◎ 定期審計Ascentis的數據保護措施,確保其符合PDPA的要求;與Ascentis簽訂數據保護協議,明確雙方的責任和義務;
◎ 建立數據保護委員會,負責監督和執行數據保護政策和流程;提高員工和顧客的數據保護意識和能力,通過培訓、溝通和教育等方式。
PDPC表示,新加坡星巴克的這些承諾是積極的,體現了其對數據保護的重視和責任感,因此,PDPC沒有對新加坡星巴克採取進一步的執法行動,但仍然要求其定期向PDPC報告其改進措施的執行情況。
圖源:臉書
數據保護不是一件小事,而是關係到每個人的隱私和安全的大事,無論是個人還是組織,都應該重視數據保護,遵守相關的法律法規,採取合理的安全措施,防止數據泄露的發生和危害。
