SINGAPOUR: Le service de livraison d’épicerie RedMart a été condamné à une amende de 72 000 dollars singapouriens par l’organisme de surveillance de la vie privée de Singapour pour avoir omis de mettre en place des mesures de sécurité raisonnables pour protéger les données personnelles en sa possession.
En octobre 2020, il a été constaté que les informations personnelles des comptes d’utilisateurs de RedMart étaient mis en vente sur un forum en ligne. Ces informations, volées dans une base de données clients, comprenaient des noms, des mots de passe cryptés, des numéros de téléphone et des numéros de carte de crédit partiels.
Confirmant la violation de données ce mois-là, la plate-forme de commerce électronique Lazada, propriétaire de RedMart, a déclaré que les informations volées provenaient d’une base de données RedMart uniquement qui n’avait pas été mise à jour depuis mars 2019 et n’était liée à aucune base de données Lazada.
La Commission de protection des données personnelles de Singapour (PDPC) a déclaré lundi 19 décembre qu’elle avait été informée de l’incident pour la première fois le 29 octobre 2020 et qu’elle avait ensuite ouvert des enquêtes.
Dans une décision écrite exposant les faits de l’affaire, ses enquêtes et considérations, il a noté que RedMart avait entrepris d’intégrer ses plates-formes à Lazada après son acquisition en 2016. Compte tenu du temps et des ressources considérables nécessaires, cette intégration – impliquant un re -la conception et la migration des bases de données et applications pertinentes vers une infrastructure cloud appartenant au groupe Alibaba, propriétaire de Lazada – se sont déroulées par étapes.
Alors que le site Web et l’application mobile destinés aux clients de RedMart ont été migrés et ont cessé leurs activités en mars 2019, la migration du système back-end de Redmart n’a pas été achevée et est restée sur un stockage cloud fourni par Amazon Web Services (AWS).
Celui-ci était lié à la base de données contenant les informations personnelles des clients et des vendeurs. La base de données n’était pas cryptée et n’avait aucune exigence d’authentification par mot de passe pour l’accès, a déclaré PDPC.
Les enquêtes du chien de garde ont montré qu’un acteur malveillant non identifié a exfiltré la base de données en septembre 2020 après avoir obtenu un accès non autorisé au cloud de RedMart sur AWS via un compte personnel compromis.
Par la suite, la base de données – contenant les noms, adresses e-mail et autres données personnelles d’environ 898 791 personnes – a été trouvée sur un forum en ligne proposé à la vente.
Alors que la base de données concernée a été placée derrière “différents niveaux de contrôles de sécurité” tels que l’utilisation de plusieurs clés d’accès, PDPC a noté que la complexité de l’architecture réseau de l’organisation “ne dissimule pas les fissures dans ses dispositifs de sécurité”.
« À tous les niveaux de la défense, les systèmes de l’organisation présentaient des vulnérabilités claires qui auraient dû être corrigées », a-t-il écrit dans son jugement.
Celles-ci comprenaient la façon dont l’entreprise n’a pas mis en place un contrôle d’accès raisonnable sur les comptes d’utilisateurs et les clés d’accès de ses employés qui permettaient un accès hautement privilégié à certaines parties de ses systèmes, ainsi que la mise en place d’exigences d’authentification distinctes pour la base de données concernée.
Suite à l’incident, RedMart et Lazada ont mis en œuvre plusieurs mesures correctives telles que la suppression du compte utilisateur compromis et la déconnexion forcée et la réinitialisation du mot de passe pour les comptes de tous les clients et vendeurs concernés.
Les entreprises ont également pris des mesures pour empêcher la répétition de tels incidents en mettant en place une authentification de base de données pour toutes les bases de données contenant des données personnelles et en limitant l’accès aux bases de données sensibles.