RedMart didenda S$72,000 atas pencerobohan data pelanggan

SINGAPURA: Khidmat penghantaran barangan runcit RedMart didenda S$72,000 oleh badan pemerhati privasi Singapura kerana gagal melaksanakan langkah-langkah keselamatan yang munasabah untuk melindungi data peribadi pelanggannya.

Suruhanjaya Perlindungan Data Peribadi (PDPC) menyatakan pada Isnin (19 Dis) bahawa pihaknya memulakan siasatan sebaik saja ia dimaklumkan mengenai insiden itu buat pertama kali pada 29 Oktober 2020.

Dalam keputusan bertulis yang membentangkan fakta-fakta berhubung kes itu, serta siasatan dan pertimbangannya, PDPC turut mendedahkan bahawa RedMart berhasrat untuk menyepadukan platformnya dengan Lazada setelah diperolehi oleh syarikat itu pada 2016.

Memandangkan masa dan sumber yang banyak diperlukan, penyepaduan ini melibatkan tugas mereka semula dan pemindahan pangkalan data yang relevan serta aplikasi ke infrastruktur pengkomputeran awan milik Alibaba Group, yang memiliki Lazada dan ia dilakukan secara bertahap-tahap.

Sedang laman web dan aplikasi RedMart dipindahkan dan berhenti beroperasi pada Mac 2019, pemindahan bahagian belakang sistem RedMart itu tidak dapat diselesaikan dan kekal di tempat menyimpan data pengkomputeran awan yang disediakan oleh Amazon Web Services (AWS).

Ia dipautkan dengan pangkalan data yang mengandungi maklumat peribadi pelanggan dan penjual.

Pangkalan data itu tidak disulitkan dan tidak mempunyai sebarang syarat pengesahan kata laluan untuk diakses, menurut PDPC.

Siasatan badan pemerhati itu menunjukkan bahawa satu ancaman yang tidak dapat dikenal pasti sudah mencerobohi pangkalan data itu pada September 2020 setelah mendapat akses kepada sistem pengkomputeran awan RedMart dalam AWS melalui akaun seorang kakitangan yang sudah dicerobohi.

Disebabkan itu, pangkalan data tersebut, yang mengandungi nama, alamat emel dan data peribadi lain milik 898,791 individu ditemui dalam forum online yang ditawarkan untuk dijual.

Menyusuli insiden itu, RedMart dan Lazada melaksanakan beberapa langkah pembetulan seperti memadam akaun yang terjejas dan melakukan log keluar secara paksa serta membuat semula kata laluan baru bagi semua akaun pelanggan dan penjual yang terjejas.

Syarikat itu juga mengambil langkah bagi memastikan perkara sedemikian tidak berlaku lagi dengan melaksanakan pengesahan pangkalan data bagi kesemua pangkalan data yang mengandungi data peribadi dan menghadkan akses kepada pangkalan data yang sensitif.

Semasa menentukan keputusannya, suruhanjaya itu menyatakan ia turut mengambil kira beberapa faktor seperti bagaimana RedMart melaksanakan langkah-langkah pencegahan dengan segera, bekerjasama dengan siasatan dan menjawab pertanyaan suruhanjaya tersebut dengan cara yang pantas dan telus.