(新加坡14日讯)因手机应用程式更新出现问题,导致超过2万名司机和乘客的资料外泄,私召车业者Grab被罚一万新元(约3万令吉)。
Grab去年8月30日为手机应用程式进行更新时,将5651名GrabHitch司机的资料错误发给所有司机,导致共2万1541名GrabHitch司机和乘客的资料外泄,并面临未经授权存取或遭盗用的风险。这也是该公司第四度违反个人资料保护法令。
被泄漏的资料包括GrabHitch司机的照片、乘客名字、车牌号码以及电子钱包馀额,包括过去车程的付款记录、预订GrabHitch的详细信息,例如地址、接送时间和下车时间,以及司机的详细信息,例如总行程,车辆型号和制造商。
事件发生后,Grab随即采取补救措施,包括在40分钟内将应用程应的版本设置回之前的版本、在同一天通知受影响的5651名司机和个人资料保护委员会(PDPC),以及在9月10日推出新的应用程式进行更新。
根据裁决书内容,为了修补应用内出现的漏洞,Grab去年8月30日更新应用程式,应用内的缓存机制却无法与新版本兼容。这导致缓存机制无法分辨个别司机,应用在更新之后的每10秒钟,向所有司机发送相同内容。
Grab在收到司机反馈后立即撤回最新版本,当时应用已更新大约40分钟。初步调查显示,只有5651名司机受影响,但公司进一步的调查却发现,有2万多名司机和乘客的个人资料面对遭盗用的风险。
为防止司机挪用他人的账户馀额,Grab也将支出现金交易的最低金额增加至20万新元(约60万令吉),并在隔天推出与缓存机制兼容的新应用版本。
个人资料保护委员会发现,Grab更新应用前,未充分了解最新版本会如何影响现有功能和系统,也未展开任何模拟测试。
“考虑到有大量GrabHitch司机,业者应该在更新应用前,先模拟多名用户同时或相继使用新版本的情况。测试也应该包括缓存机制会如何影响新版本运作的评估,因为该机制会直接影响到司机收到的资料。”
委员会也下令Grab在120天内实行新措施,规定公司必须一开始就将个人信息保护的需求通过设计嵌入系统中。
委员会副专员杨子健说,Grab违反了个人资料保护法令;该公司没有建立足够强大的流程来管理系统的更改,造成个人数据面临风险。
他表示,这是一个特别严重的错误,因为这是Grab第二次出现类似的错误。此外,在部署应用程式的更新之前,Grab也坦诚没有进行测试,以模拟多个用户同时,或连续使用应用程式时的情况。
去年6月,Grab未经授权即通过营销电邮外泄超过12万名用户的姓名和手机号码,被罚款1万6000新元(约4万8000令吉)。