ShopBack百萬用戶個資外洩 星國重罰174萬台幣
《亞洲衛視》(CNA)報導,從新加坡起家發展在台灣也頗具知名度的現金回饋平台ShopBack,被星國監管機構發現,該平台出現用戶個資數據外洩的問題,至少有百萬用戶受波及,16日新加坡個資保護委員會(Personal Data Protection Commission)開罰,要該公司繳交高達7萬4400新幣(約新台幣174萬7382元)的罰款。
當地報導指出,ShopBack平台遭遇駭客入侵伺服器,以擁有完整管理權限的金鑰,拿走大量內部用戶個資數據,據了解這個金鑰,是來自原始碼代管平台GitHub上,某處私人儲存庫(Repository)內;新加坡監管機構表示,至少有140萬用戶個資受波及,此處個資涵蓋的範圍,包含電子郵件地址、姓名、手機號碼、銀行帳戶與信用卡資訊等。
更多報導:沙國不只給一億周薪 內馬爾還有超跑、管家超奢華禮遇曝
事實上,早在2020年9月,新加坡個資保護委員會就曾接獲當地兩名用戶投訴;同一年11月中旬,有人在知名駭客論壇「Raidforums」發現,有用戶掛上求售ShopBack平台個資數據。
使用亞馬遜雲端運算服務(AWS)的ShopBack,為什麼會發生平台後門被闖,新加坡媒體懷疑,是該公司工程團隊疏失惹禍,報導中提到,曾有一名資深工程師在2019年,將擁有完整權限的管理金鑰,上傳到原始碼代管平台GitHub,雖然緊急在兩天刪除,但從修改紀錄中,駭客依舊能找回該金鑰的全貌,也從此時開始,用戶數據開始出狀況。
目前已知新加坡ShopBack平台上,一共有145萬用戶電郵地址外流、84萬人全名曝光,45萬組手機號碼和14萬個住家地址外洩;此外還有30萬組銀行帳號和38萬人信用卡資訊被盜取。根據新加坡法律規定,任何企業如觸犯個資保護法,將視嚴重程度給予罰款,最高可處100萬新幣(約新台幣2348萬6322元),或該公司在星年營業額的10%。