FreshMenu affronta la violazione dei dati del 2016 di 110.000 utenti dopo l'indignazione dei social media
Pubblicato: 2018-09-12HaveIBeenPwned.com ha rivelato che una violazione dei sistemi FreshMenu nel luglio 2016 aveva esposto dati personali inclusi nomi, ID e-mail, numeri di telefono, indirizzi di casa e cronologia degli ordini
Rashmi Daga, fondatore di FreshMenu, ha affermato che la violazione è stata limitata e che si sarebbero concentrati sulla risoluzione della vulnerabilità
Daga ha anche sottolineato che le informazioni rubate comprendevano nomi, ID e-mail e numeri di telefono
In un momento in cui la bozza di legge sulla protezione dei dati personali è in discussione e contestata per i suoi severi mandati, tra cui la localizzazione dei dati e sanzioni di alto livello per le violazioni dei dati, sono emerse notizie secondo cui la startup foodtech FreshMenu ha nascosto una violazione dei dati che ha colpito 110.000 utenti indiani nel 2016 .
All'inizio di questa settimana, il tracker di violazione dei dati HaveIBeenPwned.com (HIBP) ha rivelato che una violazione nei sistemi di FreshMenu nel luglio 2016 aveva esposto dati personali, inclusi nomi, indirizzi e-mail, numeri di telefono, indirizzi di casa e cronologie degli ordini dei suoi clienti .
Fondato nel 2014 da Rashmi Daga, FreshMenu è un servizio di consegna di kit pasto rivolto agli individui urbani indaffarati che cercano cibo nutriente ma potrebbero non avere il tempo o l'inclinazione per prepararne uno.
La startup foodtech con sede a Bengaluru ha raccolto fino ad oggi circa 21,5 milioni di dollari dai suoi investitori, tra cui Zodius Capital e Lightspeed Venture Partners. Attualmente, FreshMenu ha 35 cucine cloud in Bengaluru, Mumbai e Delhi NCR.
La società aveva quindi affermato di aver ricevuto 13.000 ordini al giorno con un valore medio dell'ordine di $ 5 (INR 325) , che, per inciso, è vicino al valore medio dell'ordine di Swiggy di $ 5,39 (INR 350).
Non è chiaro se anche le informazioni sui pagamenti dei clienti o gli indirizzi IP siano trapelati dal database di FreshMenu.
In una dichiarazione sul suo sito web, Rashmi Daga ha scritto: "Devo sincere scuse a tutti gli utenti di FreshMenu per la violazione e per non aver affrontato la questione in modo proattivo. La fiducia è parte integrante del rapporto che condividiamo con te e ci rammarichiamo per l'evento che ha portato a compromettere questa fiducia. In quel momento, credevamo che, poiché la violazione era limitata, ci saremmo concentrati sulla risoluzione della vulnerabilità e assicurandoci che non si verificassero ulteriori violazioni ".
Raccomandato per te:
In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...
Come Metaverse trasformerà l'industria automobilistica indiana
Cosa significa la disposizione anti-profitto per le startup indiane?
In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...
Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...
Daga ha anche sottolineato che le informazioni rubate comprendevano nomi, ID e-mail e numeri di telefono; tuttavia, in nessun momento sono state violate informazioni come le password degli utenti o le informazioni relative ai pagamenti, ha aggiunto.
“Abbiamo sempre collaborato con partner di pagamento sicuri per archiviare le informazioni di pagamento in sistemi conformi a PCI DSS dalla loro parte e questo è assolutamente sicuro. Indipendentemente da ciò, è chiaro con il senno di poi che avremmo potuto comunicare queste informazioni ai nostri utenti in quel momento", ha affermato Daga.
Daga ha proseguito spiegando che l'azienda è intervenuta immediatamente e ha collaborato con AppSecure e Anand Prakash, il più noto hacker indiano con cappello bianco, “per controllare i nostri sistemi e aiutarci a rendere solida la sicurezza del nostro sistema. Il nostro team ha lavorato di più per assicurarsi che l'app e il sito FreshMenu siano completamente sicuri e il nostro impegno non finisce qui. Lavoriamo instancabilmente per creare il meglio per te perché questa è la nostra massima priorità”.
In precedenza, la società di scoperta di ristoranti Zomato ha visto violati i dati di 17 milioni di utenti l'anno scorso. Le informazioni includevano gli indirizzi e-mail degli utenti e le password con hash.
Tuttavia, la società aveva assicurato che il furto di dati non includeva informazioni relative ai pagamenti. Gunjan Patidar, Technology Chief di Zomato, ha affermato: “Le informazioni relative al pagamento su Zomato sono archiviate separatamente da questi dati (rubati) in un deposito conforme allo standard PCI Data Security Standard (DSS). Nessuna informazione di pagamento o dati della carta di credito sono stati rubati/trapelati."
Ancora aperta a commenti e feedback, la bozza di legge sulla protezione dei dati personali 2018, ai sensi della sezione 32, richiede che le notifiche di violazione dei dati vengano inviate all'autorità per la protezione dei dati (DPA) proposta solo se è probabile che la violazione causi "danni" ai dati principale. Il disegno di legge lascia al fiduciario dei dati il compito di giudicare se la violazione dei dati causa "danni" all'entità dei dati, il che è motivo di preoccupazione.
Il disegno di legge, una volta emanato, prevede forti sanzioni fino a INR 5 Cr o il 2% del fatturato annuo globale (della società in questione), se superiore, per qualsiasi violazione delle sue disposizioni. Per violazioni quali il trattamento dei dati personali in violazione del disegno di legge è prevista una sanzione superiore a INR 15 Cr o al 4% del fatturato annuo globale della società in questione.
Il progetto di legge PDP deve ancora essere presentato in Parlamento. Pertanto, le disposizioni previste dal progetto di legge non saranno applicabili alle fughe di dati di FreshMenu, quindi per ora la società è stata risparmiata un'enorme quantità di sanzioni. Tuttavia, in mezzo a tutto il clamore che "i dati sono il nuovo petrolio", le fughe di dati in varie organizzazioni sono come le petroliere che prendono fuoco e tutte le società newage devono disporre di solidi meccanismi di prevenzione per tenere sotto controllo le violazioni dei dati.