头像、名字、车牌等统统外漏，逾2万名Grab用户受影响

由

2020年9月14日

888

私召车 Grab 的手机应用程序于去年8月30日的更新造成了21,541位GrabHitch司机和乘客的数据泄漏。该集团为此因安全部署的疏忽，被罚10,000新币。

（图源：Grab 官网）

据新加坡个人资料保护委员会（PDPC）副专员杨子健，泄漏的数据包括了以下的个人资料：

头像

乘客名字

车牌号码

电子钱包余额与乘搭付款记录

GrabHitch预订资料（地址、载客时间点、下车时间点）

司机资料（总载客量和车款）

他指出，这是Grab第四次触犯了个人资料保护法令（PDPA）的第24条。第一、Grab没有以足够强大的步骤处理IT系统的更新。这被视为严重失误，因为这已是该集团第二次犯类似的失误。第二、Grab在更新应用程序前没有做好该有的测试。即便如此，基于Grab在调查中的全力配合，他决定减轻罚款。

在发现数据泄漏事件近40分钟后，Grab立即将应用程序退回之前的版本，并于同一天通知了5,651位GrabHitch司机。

（图源：Grab 脸书）

此外，Grab也应数据泄漏事件采取了以下的措施：

为避免未授权汇款，将最低兑现额提高至200,000新币

重审测试步骤，包括所有涉于个人资料的应用程式接口的强制性自动化测试

调整IT系统和应用程序更新的部署和安全验证

重审应用程序的体系结构和久未重申的相关规范

Grab于去年9月10日再次更新了其应用程序。