Carousell didenda S$58,000 disebabkan pelanggaran data yang jejas lebih 2.6 juta pengguna
Anggaran Waktu Membaca:
(Gambar: Carousell)
SINGAPURA: Platform e-niaga Carousell dikenakan denda S$58,000 bagi dua pelanggaran data berasingan, salah satunya menyebabkan sekurang-kurangnya 2.6 juta data pengguna dijual di sebuah forum online.
Dalam satu lagi insiden, data peribadi lebih 44,000 pengguna di merata Singapura, Malaysia, Indonesia, Taiwan dan Filipina terdedah.
Kedua-dua insiden pelanggaran itu berlaku pada 2022 dan perinciannya didedahkan dalam keputusan mahkamah pada Khamis (22 Feb) oleh Suruhanjaya Perlindungan Data Peribadi (PDPC).
Carousell, yang diasaskan di Singapura pada 2012 dan sekarang ini mempunyai pejabat di lapan lokasi di Asia, membolehkan pengguna membeli dan menjual barangan baharu dan terpakai serta khidmat yang ingin ditawarkan menerusi lamannya dan juga aplikasi mudah alih. Ia diperluas untuk turut menyenaraikan hartanah sejak beberapa tahun kebekalangan ini.
PELANGGARAN PERTAMA
Pelanggaran pertama data berlaku pada Julai 2022 apabila Carousell melaksanakan perubahan pada fungsi sembangnya.
Perubahan itu sepatutnya terhad kepada pengguna di Filipina yang memberi respons kepada hartanah yang disenaraikan. Apabila pengguna bersetuju, nama pertama, alamat emel dan nombor telefon mereka akan secara automatik dihantar kepada pemilik hartanah yang disenaraikan.
Namun disebabkan kesilapan manusia, semua alamat emel dan nama pengguna tidak berdaftar secara automatik dilapirkan pada mesej-mesej yang dihantar kepada pemilik senarai tersebut bagi semua kategori dalam pasaran. Bagi pengguna tidak berdaftar di Filipina, nombor telefon mereka juga dibocorkan.
Carousell tidak menyedari isu tersebut pada waktu itu. Sebaliknya, sebulan kemudian, ia melaksanakan huraian bagi isu yang yang tidak berkaitan dengan fungsi isi terlebih dahulu bagi fungsi sembang.
Ini memburukkan lagi kesan masalah awal. Sekarang, bukan setakat data pengguna tidak berdaftar dilampirkan secara automatik pada mesej, data pengguna berdaftar juga terjejas.
Pada 24 Ogos 2022, Carousell menyelesaikan masalah itu selepas seorang pengguna menghantar aduan.
Masalah itu menyebabkan data peribadi 44,477 pengguna bocor. Ini termasuk alamat emel semua pengguna terjejas selain nombor telefon pengguna di Filipina.
Walaupun nama yang berkait dengan akaun pengguna tidak terdedah, PDPC tidak menganggapnya sebagai relevan semasa menilai bagaimana Carousell melanggar Akta Perlindungan Data Peribadi (PDPA).
Suruhanjaya itu menerima penjelasan Carousell bahawa nama-nama tersebut tidak semestinya nama betul pengguna dan sudahpun tertera pada profil awam pengguna.
PELANGGARAN KEDUA
Bagi kebocoran kedua data, PDPC memaklumkan kepada Carousell mengenainya pada 13 Oktober 2022 apabila seseorang menawarkan data peribadi sekitar 2.6 juta pengguna untuk dijual.
Pelanggaran itu berlaku apabila Carousell melancarkan antara muka atur cara aplikasi (API) semasa proses pemindahan sistem pada 15 Januari 2022. API memblehkan program-program berkomunikasi antara satu sama lain.
Sekalipun demikian, Carousell gagal memastikan penapisan diaktifkan pada API yang dilancarkannya.
Oleh kerana penapisan itu tidak diaktifkan, API tidak dapat memperoleh data peribadi pengguna yang terdiri daripada alamat emel, nombor telefon dan tarikh lahir.
Kelemahan ini dieksploitasi oleh pihak yang cuba menceroboh data daripada akaun 46 pengguna dengan sejumlah besar pengikut atau yang mengikuti ramai pengguna lain. Ini berlaku antara Mei dengan Jun 2022.
Pasukan dalaman Carousell mengesan isu API itu pada 15 September 2022 dan menghuraikannya pada hari yang sama.
Apabila syarikat itu melakukan siasatan dalaman untuk mengetahui sama ada data peribadi pengguna sudah diakses tanpa kebenaran dalam tempoh 6 hari sebelum ia dikesan, ia tidak mengesan sebarang kejanggalan.
Carousell kekal tidak menyedari berlaku pelanggaran itu sehingga PDPC memaklumkan kepadanya mengenai iklan penjualan data.
Keputusan mahkamah bagaimanapun tidak mendedahkan sama ada data tersebut benar-benar sudah dijual.
Dalam satu lagi insiden, data peribadi lebih 44,000 pengguna di merata Singapura, Malaysia, Indonesia, Taiwan dan Filipina terdedah.
Kedua-dua insiden pelanggaran itu berlaku pada 2022 dan perinciannya didedahkan dalam keputusan mahkamah pada Khamis (22 Feb) oleh Suruhanjaya Perlindungan Data Peribadi (PDPC).
Carousell, yang diasaskan di Singapura pada 2012 dan sekarang ini mempunyai pejabat di lapan lokasi di Asia, membolehkan pengguna membeli dan menjual barangan baharu dan terpakai serta khidmat yang ingin ditawarkan menerusi lamannya dan juga aplikasi mudah alih. Ia diperluas untuk turut menyenaraikan hartanah sejak beberapa tahun kebekalangan ini.
PELANGGARAN PERTAMA
Pelanggaran pertama data berlaku pada Julai 2022 apabila Carousell melaksanakan perubahan pada fungsi sembangnya.
Perubahan itu sepatutnya terhad kepada pengguna di Filipina yang memberi respons kepada hartanah yang disenaraikan. Apabila pengguna bersetuju, nama pertama, alamat emel dan nombor telefon mereka akan secara automatik dihantar kepada pemilik hartanah yang disenaraikan.
Namun disebabkan kesilapan manusia, semua alamat emel dan nama pengguna tidak berdaftar secara automatik dilapirkan pada mesej-mesej yang dihantar kepada pemilik senarai tersebut bagi semua kategori dalam pasaran. Bagi pengguna tidak berdaftar di Filipina, nombor telefon mereka juga dibocorkan.
Carousell tidak menyedari isu tersebut pada waktu itu. Sebaliknya, sebulan kemudian, ia melaksanakan huraian bagi isu yang yang tidak berkaitan dengan fungsi isi terlebih dahulu bagi fungsi sembang.
Ini memburukkan lagi kesan masalah awal. Sekarang, bukan setakat data pengguna tidak berdaftar dilampirkan secara automatik pada mesej, data pengguna berdaftar juga terjejas.
Pada 24 Ogos 2022, Carousell menyelesaikan masalah itu selepas seorang pengguna menghantar aduan.
Masalah itu menyebabkan data peribadi 44,477 pengguna bocor. Ini termasuk alamat emel semua pengguna terjejas selain nombor telefon pengguna di Filipina.
Walaupun nama yang berkait dengan akaun pengguna tidak terdedah, PDPC tidak menganggapnya sebagai relevan semasa menilai bagaimana Carousell melanggar Akta Perlindungan Data Peribadi (PDPA).
Suruhanjaya itu menerima penjelasan Carousell bahawa nama-nama tersebut tidak semestinya nama betul pengguna dan sudahpun tertera pada profil awam pengguna.
PELANGGARAN KEDUA
Bagi kebocoran kedua data, PDPC memaklumkan kepada Carousell mengenainya pada 13 Oktober 2022 apabila seseorang menawarkan data peribadi sekitar 2.6 juta pengguna untuk dijual.
Pelanggaran itu berlaku apabila Carousell melancarkan antara muka atur cara aplikasi (API) semasa proses pemindahan sistem pada 15 Januari 2022. API memblehkan program-program berkomunikasi antara satu sama lain.
Sekalipun demikian, Carousell gagal memastikan penapisan diaktifkan pada API yang dilancarkannya.
Oleh kerana penapisan itu tidak diaktifkan, API tidak dapat memperoleh data peribadi pengguna yang terdiri daripada alamat emel, nombor telefon dan tarikh lahir.
Kelemahan ini dieksploitasi oleh pihak yang cuba menceroboh data daripada akaun 46 pengguna dengan sejumlah besar pengikut atau yang mengikuti ramai pengguna lain. Ini berlaku antara Mei dengan Jun 2022.
Pasukan dalaman Carousell mengesan isu API itu pada 15 September 2022 dan menghuraikannya pada hari yang sama.
Apabila syarikat itu melakukan siasatan dalaman untuk mengetahui sama ada data peribadi pengguna sudah diakses tanpa kebenaran dalam tempoh 6 hari sebelum ia dikesan, ia tidak mengesan sebarang kejanggalan.
Carousell kekal tidak menyedari berlaku pelanggaran itu sehingga PDPC memaklumkan kepadanya mengenai iklan penjualan data.
Keputusan mahkamah bagaimanapun tidak mendedahkan sama ada data tersebut benar-benar sudah dijual.
Sumber : CNA/NK/ae
Ikuti perkembangan kami dan dapatkan Berita Terkini
Langgani buletin emel kami
Dengan mengklik hantar, saya bersetuju data peribadi saya boleh digunakan untuk menghantar artikel dari Berita, tawaran promosi dan juga untuk penyelidikan dan analisis.
