FreshMenu aborda violação de dados de 2016 de 110 mil usuários após indignação nas mídias sociais
Publicados: 2018-09-12HaveIBeenPwned.com revelou que uma violação nos sistemas FreshMenu em julho de 2016 expôs dados pessoais, incluindo nomes, IDs de e-mail, números de telefone, endereços residenciais e históricos de pedidos
Rashmi Daga, fundador do FreshMenu, disse que a violação era limitada e eles se concentrariam em resolver a vulnerabilidade
Daga também enfatizou que as informações roubadas incluíam nomes, IDs de e-mail e números de telefone
Em um momento em que o Projeto de Lei de Proteção de Dados Pessoais está em discussão e sendo desafiado por seus rígidos mandatos, incluindo localização de dados e penalidades de alto nível por violações de dados, surgiram relatórios de que a startup de tecnologia de alimentos FreshMenu ocultou uma violação de dados que afetou 110 mil usuários indianos em 2016 .
No início desta semana, o rastreador de violação de dados HaveIBeenPwned.com (HIBP) revelou que uma violação nos sistemas do FreshMenu em julho de 2016 expôs dados pessoais, incluindo nomes, endereços de e-mail, números de telefone, endereços residenciais e históricos de pedidos de seus clientes. .
Fundado em 2014 por Rashmi Daga, o FreshMenu é um serviço de entrega de kits de refeições destinado a indivíduos urbanos ocupados que buscam alimentos nutritivos, mas podem não ter tempo ou inclinação para prepará-los.
A startup de foodtech sediada em Bengaluru levantou cerca de US$ 21,5 milhões até a data de seus investidores, incluindo Zodius Capital e Lightspeed Venture Partners. Atualmente, o FreshMenu tem 35 cozinhas em nuvem em Bengaluru, Mumbai e Delhi NCR.
A empresa alegou então que recebia 13 mil pedidos por dia com um valor médio de pedido de $ 5 (INR 325) , que, aliás, está próximo do valor médio de pedido de Swiggy de $ 5,39 (INR 350).
Não está claro se alguma informação de pagamento do cliente ou endereços IP também foram vazados do banco de dados do FreshMenu.
Em uma declaração em seu site, Rashmi Daga escreveu: “Devo a todos os usuários do FreshMenu um sincero pedido de desculpas pela violação e por não abordar esse assunto de forma proativa. A confiança é parte integrante do relacionamento que compartilhamos com você e lamentamos o evento que levou ao comprometimento dessa confiança. Naquele momento, acreditávamos que, como a violação era limitada, nos concentraríamos em resolver a vulnerabilidade e garantir que nenhuma outra violação acontecesse .”
Recomendado para você:
Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Empreendedores não podem criar startups sustentáveis e escaláveis por meio do 'Jugaad':...
Como o Metaverse transformará a indústria automobilística indiana
O que significa a provisão antilucratividade para startups indianas?
Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro
Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...
Daga também enfatizou que as informações roubadas incluíam nomes, IDs de e-mail e números de telefone; no entanto, em nenhum momento informações como senhas de usuários ou informações relacionadas a pagamentos foram violadas, acrescentou.
“Sempre trabalhamos com parceiros de pagamento seguros para armazenar informações de pagamento em sistemas compatíveis com PCI DSS e isso é absolutamente seguro. Independentemente disso, fica claro em retrospectiva que poderíamos ter comunicado essa informação aos nossos usuários naquele momento”, disse Daga.
Daga continuou explicando que a empresa tomou medidas imediatas e trabalhou com AppSecure e Anand Prakash, o hacker de chapéu branco mais conhecido da Índia, “para auditar nossos sistemas e nos ajudar a tornar a segurança de nosso sistema robusta. Nossa equipe trabalhou arduamente para garantir que o aplicativo e o site FreshMenu sejam totalmente seguros, e nosso compromisso não termina aí. Trabalhamos incansavelmente para criar o melhor para você, porque essa é a nossa principal prioridade.”
Antes disso, a empresa de descoberta de restaurantes Zomato viu os dados de 17 milhões de usuários violados no ano passado. As informações incluíam endereços de e-mail de usuários e senhas com hash.
No entanto, a empresa garantiu que o roubo de dados não incluía informações relacionadas a pagamentos. Gunjan Patidar, chefe de tecnologia da Zomato, disse: “As informações relacionadas ao pagamento no Zomato são armazenadas separadamente desses dados (roubados) em um cofre compatível com o padrão de segurança de dados PCI (DSS) altamente seguro. Nenhuma informação de pagamento ou dados de cartão de crédito foram roubados/vazados.”
Ainda aberto para comentários e feedback, o projeto de lei de proteção de dados pessoais de 2018, sob a Seção 32, exige que as notificações de violação de dados sejam feitas à autoridade de proteção de dados proposta (DPA) somente se a violação for suscetível de causar 'dano' aos dados diretor. O projeto de lei deixa para o fiduciário de dados julgar se a violação de dados causa “prejuízo” ao principal de dados, o que é motivo de preocupação.
O projeto de lei, uma vez promulgado, prescreve multas pesadas de até INR 5 Cr ou 2% do faturamento global anual (da empresa em questão), o que for maior, por qualquer violação de suas disposições. Uma multa superior a INR 15 Cr ou 4% do faturamento global anual da empresa em questão é prescrita para violações como processamento de dados pessoais em violação do projeto de lei.
O projeto de lei do PDP ainda não foi apresentado no Parlamento. Portanto, as provisões feitas sob o projeto de lei não serão aplicáveis aos vazamentos de dados do FreshMenu, então a empresa foi poupada de uma quantia enorme em penalidades por enquanto. No entanto, em meio a todo o burburinho de que 'dados são o novo petróleo', vazamentos de dados em várias organizações são como petroleiros pegando fogo, e todas as empresas newage precisam ter mecanismos preventivos sólidos para manter as violações de dados sob controle.