新加坡处罚最严重酒店客户数据泄露事件

2024-10-31

新加坡个人数据保护委员会 (PDPC) 已对旅游公司 Commeasure 处以 74,000 新加坡元（折合54,456 美元）的罚款，该公司经营名为 RedDoorz 的旅行预订网站，该网站泄露了 590 万客户的数据——这是该委员会自成立以来处理的最大数据泄露事件。

PDPC宣布对“未能采取合理的安全措施来防止未经授权访问和泄露托管在云数据库中的客户个人数据”的处罚。

RedDoorz 最初在印度尼西亚开展业务，然后将其业务转移到新加坡，在那里汇总选定东南亚城市的经济型酒店预订。用户根据照片、面积和价格从 RedDoorz 选择经济型酒店，但并不总是知道酒店的实际名称或位置。当旅客抵达时，酒店客房体验将更名为 RedDoorz，并提供某些有保障的服务，例如 WiFi、电视和饮用水。

Commeasure 了解到，早在 2020 年 9 月，其 RedDoorz 客户就发生了数据泄露事件，当时一家总部位于亚特兰大的网络安全公司通知母公司发生了黑客攻击并提供了补救服务。一周内，这家旅游科技公司通知了 PDPC。

被盗数据包括姓名、联系电话、电子邮件地址、生日、加密的 RedDoorz 帐户密码和预订信息。根据PDPC 的裁决，数据库不包括信用卡号码。战利品在黑客论坛上出售。

导致数据被盗的失误可以追溯到公司成立之初，当时 AWS 访问密钥被嵌入到 Android 应用程序包 (APK) 中，可从 Google Play 商店公开下载。该 APK 创建于 2015 年，最后一次更新于 2018 年 1 月，当时被开发人员错误地标记为“测试”密钥。尽管在 2020 年公司收到违规通知之前，它被视为“不复存在”，但它仍然可见。

有了 AWS 访问密钥，犯罪分子就可以访问并泄露托管在 Amazon RDS 云数据库中的客户记录。RedDoorz 确实尝试过保护数据——例如通过聘请网络安全公司和使用 Java 混淆工具 Proguard 来防止 APK 逆向工程——但这一切都是徒劳的，因为相关文件从未被评估过。

RedDoorz 创始人兼首席执行官 Amit Samberwal 表示：

我们立即进行了内部审查，随后聘请了外部网络安全公司来加强安全措施。当时，我们还向所有用户、公共媒体和相关当局通报了违规情况。新加坡的 PDPC 最近在一年半后结束了调查，并认为案件已结案，并处以 74,000 美元的罚款。

Commeasure 告诉 PDPC，未能实施足够强大的流程来管理其基础设施访问密钥库存是由于员工流动率高。委员会对此并不满意。然而，监管机构确实表示，在决定罚款时，它考虑了公司的合作行为、补救措施、无效但定期的安全审查以及在大流行期间作为酒店业务的不幸情况。委员会给了 Commeasure 30 天的时间来支付利息。[来源：互联网]