個人データ漏洩でシンガポールで罰金を科されるグラブ
ジャカルタ - シンガポールのプライバシーウォッチドッグは、2019年の申請の更新に続いて、21,000人以上のドライバーと乗客に不正アクセスの危険にさらされたとして、配車会社グラブホールディングス社のグラブカーpteに罰金を科しました。
グラブは今年7月に約1万シンガポールドルまたはRp109百万ドル相当の罰金を科せられた。このようなプライバシー侵害には、grabhitchの自動車マージサービスに関連する車両のプロフィール写真、名前、ユーザーバランス、ナンバープレート番号が含まれます。
影響を受けるその他のデータには、住所、ピックアップとドロップオフ時間、総乗車などのドライバーの詳細、車両モデルやブランドなどのGrabHitch予約の詳細が含まれます。
ビジネスタイムズ、9月12日土曜日に報告され、この事件はグラブがアプリケーションの潜在的な脆弱性に対処するための更新プログラムをリリースした2019年8月30日に始まりました。アプリケーション プログラミング インターフェイス (API) を使用すると、GrabHitch ドライバーがデータにアクセスでき、URL の userID 機能は、正しいドライバー アカウントにデータ要求をリダイレクトします。
しかし、ユーザーID機能は潜在的に操作され、他のGrabHitchドライバデータにアクセスできると主張しています。リリースされた更新プログラムは userID セクションを削除しましたが、10 秒ごとに再読み込みするように構成されたアプリケーションのキャッシュ メカニズムを考慮できませんでした。キャッシュには、要求に応じて格納されたデータも表示されます。
userID を使用しない場合、キャッシュメカニズムは各ドライバのデータを区別できなくなります。その結果、このエラーにより、アプリは、新しいデータが取得され、次の 10 秒間キャッシュされる前に、10 秒間、すべての GrabHitch ドライバーに同じデータを提供します。
報告によると、エラーは1時間以内に修正されました。しかし、同社は一般に公開される前に、適切な打ち上げ前テストを実施する必要があります。実際、この侵害はグラブの2018年以来4回目の個人データ侵害です。
「組織の事業が毎日の日に大量の個人データを処理することを考えると、これは懸念の重大な原因です」と、個人データ保護委員会の副コミッショナーYeong Zee Kinは公式声明で述べました。
そのために、規制当局は、設計ポリシーに基づくいわゆるデータ保護を命じ、開発者は設計段階でデータとプライバシーの問題を約120日間考慮する必要があります。
シンガポールは包括的なデータ保護規則を持つ数少ないアジア諸国の1つです。シンガポールでビジネスを行う多国籍企業は、個人データを収集または使用する前にユーザーの同意を得ることを義務付ける個人データ保護法を遵守する必要があります。
また、グラブは海外でも間違いを犯しています。2月、フィリピンの国家プライバシー委員会は、同社に試験を中止するよう命じ、3つの新しいデータ処理システムを立ち上げる計画を立てる予定でした。
残念ながら、アプリはまだ乗客の「自分撮り」検証、車内オーディオ録音、および運転者のプライバシー権を損なう可能性のある車載ビデオ録画システムの欠陥を発見しました。
ご参考までに、インドネシアを含む東南アジア8カ国の351都市で事業を展開するGrabは、食品配達サービスや金融技術などのデジタル製品に多様化しています。モバイルアプリは現在、1億8,700万ダウンロード以上をダウンロードしています。