JAKARTA - Singapour chien de garde de la vie privée a condamné ride-hailing société Grab Holdings Inc grabcar pte pour avoir prétendument placer des données sur plus de 21.000 conducteurs et passagers à risque d’accès non autorisé, à la suite d’une mise à jour de son application 2019.
Grab a été condamné à une amende d’environ 10.000 dollars singapouriens, soit l’équivalent de Rp109 millions en Juillet de cette année. Ces violations de la vie privée comprennent la photo de profil, le nom, le solde de l’utilisateur et le numéro de plaque d’immatriculation du véhicule dans le cadre du service de fusion de voiture de Grabhitch.
D’autres données affectées incluent les détails de réservation grabhitch tels que l’adresse, les heures de ramassage et de dépose, et les détails du conducteur tels que les trajets totaux, ainsi que les modèles de véhicules et les marques.
Rapporté par le Business Times, samedi 12 septembre, cet incident a commencé le 30 août 2019, lorsque Grab a publié une mise à jour pour remédier aux vulnérabilités potentielles de l’application. L’interface de programmation d’application (API) permet aux pilotes GrabHitch d’accéder à leurs données, et la fonctionnalité userID de l’URL redirige les demandes de données vers le compte pilote correct.
Mais la fonctionnalité userID est potentiellement manipulée, ce qui prétend être en mesure d’accéder à d’autres données du pilote GrabHitch. Bien que la mise à jour publiée ait supprimé la section userID, l’entreprise n’a pas pris en compte le mécanisme de cache de l’application, qui est configuré pour être rechargé toutes les 10 secondes. Le cache affiche également les données stockées en réponse aux demandes.
Sans userID, le mécanisme de cache ne peut plus distinguer les données de chaque pilote. Par conséquent, cette erreur permet à l’application de fournir les mêmes données à tous les pilotes GrabHitch pendant 10 secondes, avant que de nouvelles données ne sont récupérées et mises en cache pendant les 10 secondes suivantes.
Selon les rapports, l’erreur a été corrigée en moins d’une heure. Toutefois, l’entreprise aurait dû mener un test de pré-lancement approprié, avant qu’il puisse être utilisé par le public. En fait, cette violation est la quatrième violation de données personnelles de Grab depuis 2018.
« Étant donné que les activités de l’organisation implique le traitement de grandes quantités de données personnelles à une date quotidienne, c’est une source importante de préoccupation », a déclaré le sous-commissaire de la Commission de protection des données personnelles Yeong Zee Kin dans un communiqué officiel.
À cette fin, les organismes de réglementation ont ordonné ce qu’on appelle la protection des données sur la base de politiques de conception, dans lesquelles les développeurs doivent tenir compte des questions de données et de confidentialité à l’étape de la conception, pendant environ 120 jours.
Veuillez noter que Singapour est l’un des rares pays asiatiques à avoir des règles complètes en matière de protection des données. Les multinationales qui font des affaires à Singapour doivent se conformer à la Loi sur la protection des données personnelles, qui oblige les entreprises à obtenir le consentement de l’utilisateur avant de recueillir ou d’utiliser des données personnelles.
En outre, Grab fait également des erreurs à l’étranger. En février, la Commission nationale de protection de la vie privée des Philippines a ordonné à l’entreprise de mettre fin aux essais et a prévu de lancer trois nouveaux systèmes de traitement des données.
Malheureusement, l’application a encore trouvé des failles dans la vérification du « selfie » des passagers, l’enregistrement audio dans le véhicule et les systèmes d’enregistrement vidéo dans le véhicule qui pourraient compromettre le droit à la vie privée du public conducteur.
Pour votre information, Grab, qui opère dans 351 villes dans huit pays d’Asie du Sud-Est, y compris l’Indonésie, s’est diversifié dans des offres numériques telles que les services de livraison de nourriture et la technologie financière. L’application mobile compte actuellement plus de 187 millions de téléchargements.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
