FreshMenu zajmuje się naruszeniem danych w 2016 r. przez 110 tys. użytkowników po oburzeniu w mediach społecznościowych
Opublikowany: 2018-09-12HaveIBeenPwned.com ujawniło, że naruszenie systemów FreshMenu w lipcu 2016 roku ujawniło dane osobowe, w tym nazwiska, identyfikatory e-mail, numery telefonów, adresy domowe i historię zamówień
Rashmi Daga, założyciel FreshMenu, powiedział, że naruszenie było ograniczone i skupią się na usunięciu luki
Daga podkreślił również, że skradzione informacje obejmowały nazwiska, identyfikatory e-mail i numery telefonów
W czasie, gdy projekt ustawy o ochronie danych osobowych jest dyskutowany i kwestionowany ze względu na surowe mandaty, w tym lokalizację danych i wysokie kary za naruszenie danych, pojawiły się doniesienia, że startup foodtech FreshMenu ukrył naruszenie danych, które w 2016 r. dotyczyło 110 tys. użytkowników z Indii .
Na początku tego tygodnia, firma śledząca naruszenia danych HaveIBeenPwned.com (HIBP) ujawniła, że naruszenie w systemach FreshMenu w lipcu 2016 roku ujawniło dane osobowe, w tym nazwiska, adresy e-mail, numery telefonów, adresy domowe i historię zamówień klienta .
Założona w 2014 roku przez Rashmi Dagę, FreshMenu to usługa dostarczania zestawów posiłków skierowana do zapracowanych mieszkańców miast, którzy szukają pożywnego jedzenia, ale mogą nie mieć czasu lub ochoty na ich przygotowanie.
Startup foodtech z siedzibą w Bengaluru zebrał do tej pory około 21,5 miliona dolarów od swoich inwestorów, w tym Zodius Capital i Lightspeed Venture Partners. Obecnie FreshMenu ma 35 kuchni w chmurze w Bengaluru, Bombaju i Delhi NCR.
Firma twierdziła wtedy, że otrzymywała 13 000 zamówień dziennie o średniej wartości zamówienia 5 USD (325 INR) , co, nawiasem mówiąc, jest zbliżone do średniej wartości zamówienia Swiggy wynoszącej 5,39 USD (350 INR).
Nie jest jasne, czy z bazy FreshMenu wyciekły również informacje o płatnościach klientów lub adresy IP.
W oświadczeniu na swojej stronie internetowej Rashmi Daga napisał: „Każdemu użytkownikowi FreshMenu jestem winien szczere przeprosiny za naruszenie i zaniechanie proaktywnego zajęcia się tą sprawą. Zaufanie jest integralną częścią relacji, którą dzielimy z Tobą i żałujemy wydarzenia, które doprowadziło do naruszenia tego zaufania. W tym momencie wierzyliśmy, że ponieważ naruszenie było ograniczone, skupimy się na rozwiązaniu luki i upewnieniu się, że nie nastąpią kolejne naruszenia ”.
Polecany dla Ciebie:
Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach
Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...
Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Co oznacza przepis anty-profitowy dla indyjskich startupów?
W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...
Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...
Daga podkreślił również, że skradzione informacje obejmowały nazwiska, identyfikatory e-mail i numery telefonów; jednak w żadnym momencie nie zostały naruszone informacje, takie jak hasła użytkowników lub informacje związane z płatnościami, dodała.
„Zawsze współpracowaliśmy z bezpiecznymi partnerami płatniczymi, aby przechowywać informacje o płatnościach w systemach zgodnych z PCI DSS po ich stronie i jest to absolutnie bezpieczne. Niezależnie od tego, z perspektywy czasu jasno widać, że mogliśmy wówczas przekazać te informacje naszym użytkownikom” – powiedział Daga.
Daga wyjaśnił, że firma podjęła natychmiastowe działania i współpracowała z AppSecure i Anandem Prakashem, najbardziej znanym indyjskim hakerem, „aby przeprowadzić audyt naszych systemów i pomóc nam wzmocnić zabezpieczenia naszego systemu. Nasz zespół dołożył wszelkich starań, aby aplikacja i strona FreshMenu były całkowicie bezpieczne, a nasze zaangażowanie na tym się nie kończy. Niestrudzenie pracujemy nad tworzeniem tego, co najlepsze dla Ciebie, ponieważ jest to nasz najwyższy priorytet”.
Wcześniej firma Zomato zajmująca się wykrywaniem restauracji widziała w zeszłym roku dane 17 milionów użytkowników. Informacje obejmowały adresy e-mail użytkowników i zaszyfrowane hasła.
Firma zapewniła jednak, że kradzież danych nie zawierała informacji związanych z płatnościami. Gunjan Patidar, szef technologii w Zomato, powiedział: „Informacje związane z płatnościami w Zomato są przechowywane oddzielnie od tych (skradzionych) danych w bardzo bezpiecznym skarbcu zgodnym ze standardem PCI Data Security Standard (DSS). Żadne informacje dotyczące płatności ani dane karty kredytowej nie zostały skradzione/wyciekły.”
Wciąż otwarty na komentarze i informacje zwrotne, projekt ustawy o ochronie danych osobowych z 2018 r., zgodnie z sekcją 32, wymaga zgłaszania naruszeń danych do proponowanego organu ochrony danych (DPA) tylko wtedy, gdy naruszenie może spowodować „szkodę” dla danych główny. Projekt ustawy pozostawia powiernikowi danych ocenę, czy naruszenie danych powoduje „szkodę” dla podmiotu odpowiedzialnego za dane, co jest niepokojące.
Raz uchwalona ustawa przewiduje wysokie kary w wysokości do 5 INR lub 2% rocznego globalnego obrotu (danej firmy), w zależności od tego, która z tych wartości jest wyższa, za jakiekolwiek naruszenie jej postanowień. Za naruszenia, takie jak przetwarzanie danych osobowych z naruszeniem ustawy, grozi kara wyższa niż 15 INR lub 4% rocznego globalnego obrotu danej firmy.
Projekt ustawy PDP nie został jeszcze wprowadzony do Sejmu. Tym samym zapisy zawarte w projekcie ustawy nie będą miały zastosowania do wycieków danych FreshMenu, dzięki czemu firma została na razie zaoszczędzona na karach. Jednak wśród całego szumu, że „dane to nowy olej”, wycieki danych w różnych organizacjach są jak zapalające się tankowce, a wszystkie nowe firmy muszą mieć solidne mechanizmy prewencyjne, aby kontrolować naruszenia danych.