FreshMenu กล่าวถึงการละเมิดข้อมูลปี 2559 ของผู้ใช้ 110K หลังจากสื่อสังคมออนไลน์

เผยแพร่แล้ว: 2018-09-12

HaveIBeenPwned.com เปิดเผยว่าการละเมิดในระบบ FreshMenu ในเดือนกรกฎาคม 2559 ได้เปิดเผยข้อมูลส่วนบุคคลรวมถึงชื่อ ID อีเมลหมายเลขโทรศัพท์ที่อยู่บ้านและประวัติการสั่งซื้อ

Rashmi Daga ผู้ก่อตั้ง FreshMenu กล่าวว่าการละเมิดมีจำกัด และพวกเขาจะมุ่งเน้นไปที่การแก้ไขช่องโหว่

ดาก้ายังเน้นย้ำว่าข้อมูลที่ถูกขโมยไปนั้นประกอบไปด้วยชื่อ ไอดีอีเมล และหมายเลขโทรศัพท์

ในช่วงเวลาที่ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังอยู่ระหว่างการสนทนาและกำลังถูกท้าทายสำหรับอาณัติที่เข้มงวด รวมถึงการโลคัลไลซ์ข้อมูลและบทลงโทษระดับสูงสำหรับการละเมิดข้อมูล รายงานพบว่า FreshMenu สตาร์ทอัพด้าน foodtech ปกปิดการละเมิดข้อมูลที่ส่งผลกระทบต่อผู้ใช้ชาวอินเดีย 110K ในปี 2559 .

เมื่อต้นสัปดาห์นี้ เครื่องมือติดตามการละเมิดข้อมูล HaveIBeenPwned.com (HIBP) เปิดเผยว่า การละเมิดในระบบ FreshMenu ในเดือนกรกฎาคม 2559 ได้เปิดเผยข้อมูลส่วนบุคคล รวมถึงชื่อ ที่อยู่อีเมล หมายเลขโทรศัพท์ ที่อยู่บ้าน และประวัติการสั่งซื้อของลูกค้า .

“เมื่อได้รับคำแนะนำเกี่ยวกับเหตุการณ์ FreshMenu รับทราบถึงการละเมิดแล้ว แต่ระบุว่าพวกเขาได้ตัดสินใจที่จะไม่แจ้งลูกค้าที่ได้รับผลกระทบ ” HIBP ซึ่งก่อตั้งโดยนักวิจัยด้านความปลอดภัยข้อมูล Troy Hunt กล่าวบนเว็บไซต์

FreshMenu ก่อตั้งขึ้นในปี 2014 โดย Rashmi Daga เป็น บริการจัดส่งชุดอาหารที่มุ่งเป้าไปที่คนในเมืองที่วุ่นวายซึ่งแสวงหาอาหารที่มีคุณค่าทางโภชนาการ แต่อาจไม่มีเวลาหรือความชอบในการเตรียมอาหาร

สตาร์ทอัพด้านเทคโนโลยีด้านอาหารในเบงกาลูรู ระดมทุนได้ประมาณ 21.5 ล้านเหรียญสหรัฐ จากนักลงทุน ซึ่งรวมถึง Zodius Capital และ Lightspeed Venture Partners ปัจจุบัน FreshMenu มีครัวระบบคลาวด์ 35 แห่งทั่วเบงกาลูรู มุมไบ และเดลี NCR

บริษัทได้อ้างว่า ได้รับคำสั่งซื้อ 13K ต่อวันโดยมีมูลค่าการสั่งซื้อเฉลี่ย $5 (INR 325) ซึ่งบังเอิญใกล้เคียงกับมูลค่าการสั่งซื้อเฉลี่ยของ Swiggy ที่ 5.39 ดอลลาร์ (INR 350)

ไม่ชัดเจนว่าข้อมูลการชำระเงินของลูกค้าหรือที่อยู่ IP รั่วไหลออกจากฐานข้อมูลของ FreshMenu ด้วยหรือไม่

ในคำแถลงบนเว็บไซต์ Rashmi Daga เขียนว่า “ผมเป็นหนี้ผู้ใช้ FreshMenu ทุกคนที่ต้องขอโทษอย่างจริงใจสำหรับการละเมิดและไม่ได้จัดการเรื่องนี้ในเชิงรุก ความไว้วางใจเป็นส่วนสำคัญในความสัมพันธ์ที่เราแบ่งปันกับคุณ และเราเสียใจกับเหตุการณ์ที่นำไปสู่ความเชื่อถือนี้ที่ถูกประนีประนอม ในช่วงเวลานั้น เราเชื่อว่าตั้งแต่การละเมิดถูกจำกัด เราจะมุ่งเน้นไปที่การแก้ไขช่องโหว่และทำให้แน่ใจว่าจะไม่มีการละเมิดเกิดขึ้น อีก”

แนะนำสำหรับคุณ:

วิธีที่กรอบงานผู้รวบรวมบัญชีของ RBI ถูกตั้งค่าให้เปลี่ยน Fintech ในอินเดีย
ทรัพยากร

วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': CitiusTech CEO
ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

ดาก้ายังเน้นย้ำว่า ข้อมูลที่ถูกขโมยประกอบด้วยชื่อ รหัสอีเมล และหมายเลขโทรศัพท์ อย่างไรก็ตาม ข้อมูลเช่นรหัสผ่านของผู้ใช้หรือข้อมูลที่เกี่ยวข้องกับการชำระเงินไม่ถูกละเมิด เธอกล่าวเสริม

“เราได้ ทำงานร่วมกับพันธมิตรการชำระเงินที่ปลอดภัยเสมอมาเพื่อเก็บข้อมูลการชำระเงินในระบบที่สอดคล้องกับ PCI DSS ทางฝั่งของพวกเขา และปลอดภัยอย่างแน่นอน อย่างไรก็ตาม เมื่อมองย้อนกลับไปจะเห็นชัดเจนว่าเราสามารถสื่อสารข้อมูลนี้ไปยังผู้ใช้ของเราได้ในขณะนั้น” Daga กล่าว

Daga อธิบายต่อไปว่าบริษัทได้ดำเนินการในทันทีและ ทำงานร่วมกับ AppSecure และ Anand Prakash ซึ่งเป็นแฮ็กเกอร์แฮ็กเกอร์ที่มีชื่อเสียงที่สุดของอินเดีย “เพื่อตรวจสอบระบบของเราและช่วยให้เราทำให้ระบบของเรามีความปลอดภัย ทีมงานของเราทำงานอย่างหนักเพื่อให้แน่ใจว่าแอป FreshMenu และเว็บไซต์มีความปลอดภัยอย่างทั่วถึง และความมุ่งมั่นของเราไม่ได้สิ้นสุดเพียงแค่นั้น เราทำงานอย่างไม่รู้จักเหน็ดเหนื่อยเพื่อสร้างสิ่งที่ดีที่สุดสำหรับคุณเพราะนั่นคือสิ่งสำคัญที่สุดของเรา”

ก่อนหน้านี้ บริษัทค้นพบร้านอาหาร Zomato ได้เห็นข้อมูลของผู้ใช้ 17 ล้านคนที่ละเมิดเมื่อปีที่แล้ว ข้อมูลดังกล่าวรวมถึงที่อยู่อีเมลของผู้ใช้และรหัสผ่านที่แฮช

อย่างไรก็ตาม บริษัทมั่นใจว่าการขโมยข้อมูลไม่ได้รวมข้อมูลที่เกี่ยวข้องกับการชำระเงิน Gunjan Patidar หัวหน้าฝ่ายเทคโนโลยีของ Zomato กล่าวว่า "ข้อมูลที่เกี่ยวข้องกับการชำระเงินบน Zomato ถูกจัดเก็บแยกต่างหากจากข้อมูล (ที่ถูกขโมย) นี้ในห้องนิรภัยตามมาตรฐาน PCI Data Security Standard (DSS) ที่มีความปลอดภัยสูง ไม่มีข้อมูลการชำระเงินหรือข้อมูลบัตรเครดิตถูกขโมย/รั่วไหล”

ยังคงเปิดรับความคิดเห็นและข้อเสนอแนะ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2561 ตามมาตรา 32 กำหนดให้ แจ้งการละเมิดข้อมูลต่อหน่วยงานคุ้มครองข้อมูล (DPA) ที่เสนอเท่านั้น หากละเมิดมีแนวโน้มจะก่อให้เกิด 'อันตราย' ต่อข้อมูล อาจารย์ใหญ่. บิลปล่อยให้ผู้ดูแลข้อมูลตัดสินว่าการละเมิดข้อมูลทำให้เกิด "อันตราย" ต่อหลักข้อมูลหรือไม่ ซึ่งเป็นเรื่องที่น่ากังวล

ร่างกฎหมายฉบับดังกล่าวกำหนดให้มีบทลงโทษสูงถึง INR 5 Cr หรือ 2% ของมูลค่าการซื้อขายทั่วโลกประจำปี (ของบริษัทที่เป็นปัญหา) แล้วแต่จำนวนใดจะสูงกว่า สำหรับการฝ่าฝืนบทบัญญัติใดๆ บทลงโทษที่สูงกว่า INR 15 Cr หรือ 4% ของมูลค่าการซื้อขายทั่วโลกประจำปีของบริษัทที่เป็นปัญหานั้นถูกกำหนดไว้สำหรับการละเมิด เช่น การประมวลผลข้อมูลส่วนบุคคลที่ขัดต่อกฎหมาย

ร่าง พ.ร.บ. พีดีพี ยังไม่ได้รับการเสนอในรัฐสภา ดังนั้นบทบัญญัติที่ทำขึ้นภายใต้ร่างกฎหมายจะไม่มีผลบังคับใช้กับการรั่วไหลของข้อมูล FreshMenu ดังนั้นบริษัทจึงได้รับการบันทึกบทลงโทษจำนวนมากในตอนนี้ อย่างไรก็ตาม ท่ามกลางข่าวลือที่ว่า 'ข้อมูลคือน้ำมันใหม่' การรั่วไหลของข้อมูลในองค์กรต่างๆ ก็เหมือนกับเรือบรรทุกน้ำมันที่ถูกไฟไหม้ และบริษัทยุคใหม่ทั้งหมดจำเป็นต้องมีกลไกการป้องกันที่แข็งแกร่งเพื่อควบคุมการรั่วไหลของข้อมูล