查看冠状病毒19最新报道

2万多名司机乘客资料外泄 Grab被罚款1万元并道歉

更新应用后出现漏洞,导致2万多名GrabHitch司机和乘客的个人资料外泄,私召车业者Grab被个人资料保护委员会罚款1万元。(档案照)

字体大小:

更新应用后出现漏洞,导致2万多名GrabHitch司机和乘客的个人资料外泄,私召车业者Grab被个人资料保护委员会罚款1万元。Grab也为发生在去年8月的事故道歉。

根据个人资料保护委员会本月10日在官网公布的裁决书内容,共有2万1541名司机和乘客的个人资料,包括姓名、付款记录、住址、车牌和接送地点等详情外泄。

个人资料保护委员会副专员杨子健指出:“考虑到Grab每天处理大量个人资料,这个情况非常令人担忧。”

Grab受询时指出,确保数据安全和保障隐私对公司至关重要,公司对让用户失望感到抱歉。发言人强调,公司在发生事故当天就立即采取行动保护用户的资料,并主动呈报给个人资料保护委员会。

“为了确保不会重蹈覆辙,我们也在之后采取更严谨的措施,尤其是与信息科技测试相关的过程,同时也更新管制程序,并检讨应用旧版本和源代码。”

根据裁决书内容,为了修补应用内出现的漏洞,Grab于去年8月30日更新应用,应用内的缓存机制却无法与新版本兼容。这导致缓存机制无法分辨个别司机,应用在更新之后的每10秒钟,向所有司机发送相同内容。

Grab在收到司机反馈后立即撤回最新版本,当时应用已更新大约40分钟。初步调查显示,只有5651名司机受影响,但公司进一步的调查却发现,有2万多名司机和乘客的个人资料面对遭盗用的风险。

为防止司机挪用他人的账户余额,Grab也将支出现金交易的最低金额增加至20万元,并在隔天推出与缓存机制兼容的新应用版本。

杨子健指出,Grab并未采取严谨措施保护用户个人资料,使得这些资料面临遭外泄或盗用的风险。“这是业者第二次犯下类似错误,虽然这次出事的是另一个系统,不过还是非常严重的事故。”

去年6月,Grab未经授权即通过营销电邮外泄超过12万名用户的姓名和手机号码,被罚款1万6000元。

个资保护委员会:更新应用前 Grab未充分了解新版本影响

委员会也发现,Grab更新应用前,未充分了解最新版本会如何影响现有功能和系统,也未展开任何模拟测试。

“考虑到有大量GrabHitch司机,业者应该在更新应用前,先模拟多名用户同时或相继使用新版本的情况。测试也应该包括缓存机制会如何影响新版本运作的评估,因为该机制会直接影响到司机收到的资料。”

杨子健强调:“在更新系统前务必进行模拟测试,以允许机构及时探测并纠正问题,防止个人资料外泄。”

委员会也下令Grab在120天内实行新措施,规定公司必须一开始就将个人信息保护的需求通过设计嵌入系统中。

LIKE我们的官方面簿网页以获取更多新信息