in

Carousell遭$58,000罚款:260百万用户数据泄露

Carousell因2022年两次数据泄露事件被新加坡个人数据保护委员会(PDPC)罚款58,000新元。

第一次数据泄露发生在2022年9月5日,影响了来自新加坡、马来西亚、印尼、台湾和菲律宾44,777人的个人数据。

第二次数据泄露发生在2022年10月17日,导致260万Carousell用户的个人数据在一个在线论坛上被出售。

Carousell承认对这两起事件负有责任,并被PDPC发现在事件发生后采取了补救措施。

广告 - 请继续往下阅读

第一次泄露是在Carousell于2022年7月13日对聊天功能进行更改后发生,这些更改让菲律宾用户在回应时将联系方式自动附加到这些消息中。

此外,还泄露了菲律宾用户的电话号码。 Carousell在2022年8月18日通过用户报告才意识到这个bug,并在六天后实施了修复。 届时,已有44,477人的个人数据未经同意被披露。

第二次泄露是在Carousell于2022年1月15日在系统迁移期间推出一个面向公众的应用程序编程接口(API)后发生。

广告 - 请继续往下阅读

由于调用的数据没有经过筛选,用户的非公开信息,如电子邮件地址、电话号码和出生日期,可以通过该功能被检索。

一个“用户”利用了这个漏洞,获取了大量用户的个人数据。 尽管Carousell后来发现了这个bug并在2022年9月15日修复了它。 然而,由于他们只检查了数据泄露前的60天内的记录,他们没有检测到任何未授权访问用户个人数据的行为。

Carousell在2022年10月13日被PDPC告知,有人在一个在线论坛上提供大约260万Carousell用户的个人数据出售后,才得知此次泄露。

在调查事件并确认数据窃取是由于API bug造成后,他们在2023年10月17日向PDPC确认了数据泄露。 Carousell在2023年10月13日识别并封锁了“用户”账户,并随后通过电子邮件通知了受影响的用户。

违反了个人数据保护法

PDPC发现Carousell违反了个人数据保护法(PDPA),因为它未能对新功能进行充分的上线前测试。

对此两件疏忽,Carousell遭到罚款58,000新元。

广告 - 请继续往下阅读

Written by 新加坡华人网

分享新加坡|马来西亚 两地最新消息

Orchard ATM

工资涨了,但还是败给了物价! 赶不上通膨

肉骨茶是谁家的? 马来西亚将这些美食列国家遗产!