الاستيلاء على غرامة في سنغافورة لخرق البيانات الشخصية

جاكرتا - غرمت هيئة مراقبة الخصوصية في سنغافورة شركة "غراب هولدينغز إنك" "Grab-Holdings Inc" بتهمة وضع بيانات على أكثر من 21,000 سائق وركاب معرضين لخطر الوصول غير المصرح به، وذلك بعد تحديث لتطبيقها لعام 2019.

تم تغريم جراب ما يقرب من 10،000 دولار سنغافورة أو ما يعادل 109 مليون روبية في يوليو من هذا العام. وتشمل هذه الانتهاكات الخصوصية صورة الملف الشخصي للسيارة، واسمها، ورصيد المستخدم ورقم لوحة الترخيص فيما يتعلق بخدمة دمج السيارات في grabhitch.

وتشمل البيانات الأخرى المتضررة تفاصيل الحجز GrabHitch مثل العنوان، والتقاط وإسقاط مرات، وتفاصيل السائق مثل ركوب الخيل الكلي، فضلا عن نماذج المركبات والعلامات التجارية.

ذكرت صحيفة بيزنس تايمز، السبت 12 سبتمبر، أن هذا الحادث بدأ في 30 أغسطس 2019، عندما أصدرت Grab تحديثًا لمعالجة نقاط الضعف المحتملة في التطبيق. واجهة برمجة التطبيقات (API) يسمح برامج تشغيل GrabHitch الوصول إلى البيانات الخاصة بهم و ميزة معرف المستخدم في URL إعادة توجيه طلبات البيانات إلى حساب برنامج التشغيل الصحيح.

ولكن يحتمل أن يتم التلاعب ميزة معرف المستخدم، الذي يدعي أنه قادر على الوصول إلى بيانات برنامج تشغيل GrabHitch الأخرى. على الرغم من أن التحديث الذي تم إصداره قد أزال المقطع معرف المستخدم، فشلت الشركة في النظر في آلية التخزين المؤقت للتطبيق، الذي تم تكوينه ليتم إعادة تحميله كل 10 ثوان. كما تعرض ذاكرة التخزين المؤقت البيانات المخزنة استجابة للطلبات.

بدون userID، آلية ذاكرة التخزين المؤقت لم يعد يمكن تمييز بيانات كل برنامج تشغيل. ونتيجة لذلك، هذا الخطأ يجعل التطبيق توفير نفس البيانات لجميع السائقين GrabHitch لمدة 10 ثوان، قبل أن يتم استرداد البيانات الجديدة والتخزين المؤقت للثواني ال 10 المقبلة.

ووفقا للتقارير، تم إصلاح الخطأ في أقل من ساعة. ومع ذلك، كان ينبغي أن تكون الشركة قد أجرت اختبارًا مناسبًا قبل الإطلاق، قبل أن يتمكن الجمهور من استخدامه. في الواقع ، هذا الخرق هو خرق البيانات الشخصية الرابع لـ Grab منذ عام 2018.

وقال نائب مفوض لجنة حماية البيانات الشخصية يونغ زي كين في بيان رسمي "بالنظر إلى أن أعمال المنظمة تنطوي على معالجة كميات كبيرة من البيانات الشخصية في تاريخ يومي، فإن هذا مدعاة للقلق بشكل كبير".

وتحقيقا لهذه الغاية، طلب المنظمون ما يسمى بحماية البيانات استنادا إلى سياسات التصميم، التي يجب على المطورين فيها النظر في قضايا البيانات والخصوصية في مرحلة التصميم، لمدة 120 يوما تقريبا.

يرجى ملاحظة أن سنغافورة هي واحدة من البلدان الآسيوية القليلة التي ا". يجب على الشركات متعددة الجنسيات التي تقوم بأعمال تجارية في سنغافورة الامتثال لقانون حماية البيانات الشخصية، الذي يتطلب من الشركات الحصول على موافقة المستخدم قبل جمع البيانات الشخصية أو استخدامها.

بالإضافة إلى ذلك ، Grab أيضا يرتكب أخطاء في الخارج. وفي فبراير/شباط، أمرت اللجنة الوطنية للخصوصية في الفلبين الشركة بوقف التجارب، وخططت لإطلاق ثلاثة أنظمة جديدة لمعالجة البيانات.

لسوء الحظ ، لا يزال التطبيق يجد عيوبًا في التحقق من "selfie" للركاب ، والتسجيل الصوتي داخل السيارة ، وأنظمة تسجيل الفيديو في السيارة التي يمكن أن تعرض حقوق الخصوصية للجمهور الدافع للخطر.

لمعلوماتك، فإن Grab، التي تعمل في 351 مدينة في ثماني دول في جنوب شرق آسيا بما في ذلك إندونيسيا، تنوعت في العروض الرقمية مثل خدمات توصيل الطعام والتكنولوجيا المالية. يحتوي تطبيق الهاتف المحمول حاليًا على أكثر من 187 مليون تنزيل.

Tag: teknologi singapura