Singapore phạt RedDoorz vì làm lộ dữ liệu của 5,9 triệu khách hàng

Ủy ban Bảo vệ Dữ liệu Cá nhân Singapore (PDPC) đã đưa ra phán quyết phạt 74.000 đô la Singapore đối với Commeasure, công ty điều hành trang web quản lý và đặt phòng khách sạn RedDoorz, với lý do không thực hiện các biện pháp bảo mật hợp lý để ngăn chặn việc truy cập trái phép và lấy cắp dữ liệu cá nhân của khách hàng.

Vào tháng 9/2020, một trong những cơ sở dữ liệu của nền tảng này bị tấn công, với ước tính thông tin cá nhân của gần 5,9 triệu khách hàng đã bị rò rỉ - 9.000 trong số đó là người Singapore.

PDPC tuyên bố rằng mặc dù đây là vụ vi phạm dữ liệu lớn nhất xảy ra kể từ khi Đạo luật bảo vệ dữ liệu cá nhân của Singapore có hiệu lực, nhưng khoản tiền phạt thấp hơn nhiều so với các trường hợp trước đó sau khi Ủy ban này cân nhắc những khó khăn đối với lĩnh vực du lịch, khách sạn do đại dịch Covid-19 gây ra.

PDPC nhận được thông báo về vụ việc vào ngày 25/9/2020. Trước đó, Commeasure phát hiện ra việc rò rỉ dữ liệu vào ngày 19/9/2020, sau khi một công ty an ninh mạng của Mỹ thông báo cho công ty này.

Dữ liệu bị ảnh hưởng trong sự cố RedDoorz bao gồm họ tên, số liên lạc, địa chỉ e-mail, ngày sinh, mật khẩu được mã hóa của tài khoản RedDoorz và thông tin đặt phòng của khách hàng. Vì mật khẩu của khách hàng đã được mã hóa, tin tặc sẽ không thể sử dụng chúng trừ khi tìm ra cách giải mã mật khẩu. Điều này làm giảm khả năng kẻ gian có thể sử dụng mật khẩu để xâm nhập vào tài khoản RedDoorz của nạn nhân. Ngoài ra, các tin tặc đã không truy cập hoặc tải xuống số thẻ tín dụng bị che mờ của khách hàng. Tuy nhiên, với các dữ liệu cá nhân khác bị lộ, tội phạm mạng có thể đóng giả là nạn nhân và cố gắng chiếm đoạt các tài khoản trực tuyến khác sử dụng các thông tin tương tự. Các nạn nhân có thể bị nhắm tới bởi hàng loạt tin nhắn rác và các hành vi lừa đảo khác.

RedDoorz sau đó đã gửi email cho khách hàng của mình vào ngày 26/9/2020, thông báo về vụ rò rỉ dữ liệu, khuyến nghị họ thay đổi mật khẩu nhằm phòng ngừa bổ sung và không nên sử dụng cùng một mật khẩu trên các nền tảng kỹ thuật số khác.

Theo một số nguồn tin, một số dữ liệu từ RedDoorz đã được rao bán trên các diễn đàn hacker từ tháng 9 đến tháng 10/2020, và sau đó đã bị xóa.

Tất cả khách hàng của RedDoorz đều đến từ Đông Nam Á và hầu hết dữ liệu bị xâm phạm đến từ thị trường lớn nhất của nó, Indonesia.

PDPC cho biết rằng tin tặc đã truy cập vào dữ liệu của RedDoorz, được lưu trữ trên cơ sở dữ liệu cloud của Amazon, sau khi lấy được một khóa truy cập của Amazon Web Services. Khóa truy cập được nhúng trong một gói ứng dụng Android (APK) được tạo bởi Commeasure vào năm 2015, vốn được dùng để cho phép download công khai và cài đặt ứng dụng RedDoorz.

Vấn đề nảy sinh khi Commeasure đã gắn nhãn sai cho khóa truy cập này là "khóa thử nghiệm", ngoài việc bỏ qua lời khuyên của Amazon Web Service về việc không nhúng khóa truy cập trực tiếp vào đoạn mã. Do đó, công ty chủ quản đã coi APK là "không còn tồn tại" và nó đã bị bỏ qua khi Commeasure thuê một công ty an ninh mạng tiến hành đánh giá và kiểm tra bảo mật trong khoảng thời gian từ tháng 9 tới tháng 12/2019. Bên cạnh đó, một công cụ bảo mật có thể ngăn chặn tin tặc lấy được khóa truy cập cũng không được sử dụng vì APK của RedDoorz được coi là không còn tồn tại. 

PDPC nhận định nếu Commeasure đã kiểm tra APK hoặc khóa truy cập, vụ việc vi phạm dữ liệu có thể đã được ngăn chặn. Các đánh giá bảo mật CNTT do Commeasure thực hiện cũng không đáp ứng các tiêu chuẩn theo quy định của luật. Trong thông báo của PDPC có nêu: "Việc công ty này không đưa gói APK bị ảnh hưởng và khóa truy cập vào quá trình đánh giá an toàn bảo mật cho thấy sự khinh xuất của đơn vị này trong giám sát và quản lý nguồn tài sản CNTT vận hành kinh doanh".

Khi đưa ra khoản phạt 74.000 đô la, PDPC cho biết họ cũng xem xét các yếu tố như các động thái Commeasure đã thực hiện để giải quyết vụ việc như hỉ cho phép các địa chỉ IP trong danh sách cho phép được truy cập vào cơ sở dữ liệu trực tiếp của nó và thiết lập xác thực hai yếu tố cho tất cả các công cụ và tài khoản được các lập trình viên sử dụng.

Vào tháng 10/2020, chính phủ Singapore đã đề xuất phạt tới 10% doanh thu hàng năm của một công ty tại Singapore, hoặc 1 triệu đô la Singapore - tùy theo mức nào cao hơn - nếu một công ty bị phán quyết vi phạm dữ liệu. Động thái này của chính phủ diễn ra sau hàng loạt vụ vi phạm dữ liệu ngoài RedDoorz, chẳng hạn như ShopBack, Razer và Shopify. Chính quyền địa phương cũng đã có một số lần vi phạm dữ liệu trong năm 2019, bao gồm việc rò rỉ thông tin cá nhân của hơn 800.000 người hiến máu do xử lý sai dữ liệu bởi một nhà cung cấp dịch vụ của Cơ quan Khoa học Y tế Singapore. Trước đây, mức phạt tối đa đối với vi phạm dữ liệu theo Đạo luật bảo vệ dữ liệu cá nhân có hiệu lực vào năm 2013 là 1 triệu đô la Singapore.

RedDoorz không phải là công ty công nghệ duy nhất phải đối mặt với các cuộc tấn công xâm phạm dữ liệu. Thị trường Tokopedia có trụ sở tại Indonesia, nhà sản xuất PC của Đài Loan, Acer và công ty khởi nghiệp giao hàng tạp hóa có trụ sở tại Ấn Độ, BigBasket cũng đã gặp sự cố tương tự trong hai năm qua.