FreshMenu, 소셜 미디어 분노 이후 110,000명의 사용자의 2016년 데이터 침해 문제 해결
게시 됨: 2018-09-12HaveIBeenPwned.com은 2016년 7월 FreshMenu 시스템의 침해로 이름, 이메일 ID, 전화번호, 집 주소 및 주문 내역을 포함한 개인 데이터가 노출되었다고 밝혔습니다.
FreshMenu의 설립자인 Rashmi Daga는 침해가 제한적이며 취약점 해결에 집중할 것이라고 말했습니다.
Daga는 또한 이름, 이메일 ID 및 전화 번호로 구성된 도난 정보를 강조했습니다.
개인 데이터 보호법 초안이 논의 중이며 데이터 현지화 및 데이터 침해에 대한 높은 수준의 처벌을 포함한 엄격한 의무에 대한 도전을 받고 있는 시기에 푸드테크 스타트업 FreshMenu가 2016년에 110,000명의 인도 사용자에게 영향을 미치는 데이터 침해를 숨겼다는 보고서가 나타났습니다. .
이번 주 초 데이터 침해 추적업체인 HaveIBeenPwned.com(HIBP)은 2016년 7월 FreshMenu 시스템의 침해로 고객의 이름, 이메일 주소, 전화번호, 집 주소 및 주문 내역을 포함한 개인 데이터가 노출되었다고 밝혔습니다. .
Rashmi Daga가 2014년에 설립한 FreshMenu는 영양가 있는 음식을 찾고 있지만 준비할 시간이나 의향이 없는 바쁜 도시 개인을 대상으로 하는 밀키트 배달 서비스 입니다.
벵갈루루에 기반을 둔 푸드테크 스타트업은 Zodius Capital 및 Lightspeed Venture Partners를 포함한 투자자들로부터 지금까지 약 2,150만 달러를 모금 했습니다. 현재 FreshMenu 는 벵갈루루, 뭄바이, 델리 NCR에 35개의 클라우드 키친 을 보유하고 있습니다.
회사는 당시 평균 주문 금액 $5(INR 325) 로 하루 13,000건의 주문을 받았다고 주장했는데, 이는 우연히도 Swiggy의 평균 주문 금액인 $5.39(INR 350)에 가깝습니다.
FreshMenu의 데이터베이스에서도 고객 결제 정보나 IP 주소가 유출되었는지는 확실하지 않습니다.
웹사이트의 성명에서 Rashmi Daga는 "나는 FreshMenu의 모든 사용자에게 침해에 대해 진심으로 사과하고 이 문제를 사전에 해결하지 못한 것에 대해 빚지고 있습니다. 신뢰는 우리가 당신과 공유하는 관계에 필수적이며 우리는 이 신뢰가 훼손된 사건을 유감스럽게 생각합니다. 그 순간 우리는 침해가 제한적이기 때문에 취약성을 해결하고 더 이상 침해가 발생하지 않도록 하는 데 집중할 것이라고 믿었습니다 .”
당신을 위해 추천 된:
인도에서 핀테크를 혁신하기 위해 RBI의 Account Aggregator Framework를 설정하는 방법
기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: Cit...
메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?
인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?
Edtech Startup이 인도 인력의 기술 향상 및 미래 준비를 돕는 방법...
이번 주 새로운 시대의 기술 주식: Zomato의 문제는 계속되고 EaseMyTrip은 Str...
Daga는 또한 이름, 이메일 ID 및 전화 번호로 구성된 도난 정보를 강조했습니다. 그러나 사용자 비밀번호나 결제 관련 정보와 같은 정보가 유출된 적은 없었다고 그녀는 덧붙였다.
“우리는 항상 안전한 지불 파트너와 협력하여 PCI DSS 호환 시스템에 지불 정보를 저장했으며 이는 절대적으로 안전합니다. 그럼에도 불구하고 그 당시에 이 정보를 사용자에게 전달할 수 있었다는 것은 돌이켜 보면 분명합니다.”라고 Daga가 말했습니다.
Daga는 계속해서 회사가 즉각적인 조치를 취했고 AppSecure 및 인도의 가장 유명한 화이트햇 해커인 Anand Prakash와 협력하여 “우리 시스템을 감사하고 시스템 보안을 강력하게 만드는 데 도움을 주었습니다. 우리 팀은 FreshMenu 앱과 사이트가 완전히 안전한지 확인하기 위해 더 열심히 노력했으며 우리의 약속은 여기서 끝나지 않습니다. 우리는 그것이 우리의 최우선 순위이기 때문에 최선을 다하기 위해 끊임없이 노력합니다.”
이에 앞서 레스토랑 검색 회사인 Zomato는 작년에 1,700만 명의 사용자 데이터가 유출된 것을 확인했습니다. 정보에는 사용자 이메일 주소와 해시된 비밀번호가 포함되었습니다.
그러나 회사는 데이터 도난에 지불 관련 정보가 포함되지 않았다고 확신했습니다. Zomato의 기술 책임자인 Gunjan Patidar 는 “Zomato의 결제 관련 정보는 이 (도난된) 데이터와 별도로 매우 안전한 PCI DSS(Data Security Standard) 호환 볼트에 저장됩니다. 결제 정보나 신용카드 데이터가 도용/유출되지 않았습니다.”
의견과 피드백을 위해 여전히 열려 있는 개인 데이터 보호 법안 2018 초안 은 섹션 32에 따라 위반으로 인해 데이터에 '피해'가 발생할 가능성이 있는 경우에만 제안된 데이터 보호 기관(DPA)에 데이터 위반 알림을 제출해야 합니다. 주요한. 이 법안은 데이터 침해가 데이터 주체에게 "피해"를 초래하는지 여부를 판단하는 것은 데이터 수탁자에게 맡기며 이는 우려 사항입니다.
한 번 제정된 법안은 규정 위반에 대해 INR 5 Cr 또는 연간 글로벌 매출의 2%(해당 회사) 중 더 높은 금액까지 가중 처벌하도록 규정하고 있습니다. 법안을 위반하는 개인 데이터 처리와 같은 위반에 대해 INR 15 Cr 또는 해당 회사의 연간 글로벌 매출의 4% 이상의 벌금이 부과됩니다.
PDP 법안 초안은 아직 의회에 제출되지 않았습니다. 따라서 법안 초안에 명시된 조항은 FreshMenu의 데이터 유출에 적용되지 않아 회사는 현재 엄청난 벌금을 절약했습니다. 하지만 '데이터가 새로운 석유다'라는 화두 속에 각종 조직의 데이터 유출은 유조선에 불이 붙는 것과 같으며, 모든 뉴에이지 기업은 데이터 유출을 견제할 수 있는 확실한 예방 장치가 필요하다.