Carousell recibió una multa de 58.000 dólares singapurenses por dos violaciones de datos en 2022, una de las cuales expuso la información personal de alrededor de 2,6 millones de usuarios de Carousell. Las violaciones fueron detalladas en un fallo de la Comisión de Protección de Datos Personales (PDPC) ayer (22 de febrero).
La primera filtración de datos se produjo en julio de 2022, cuando Carousell realizó cambios en su función de chat. La función de chat es una función que permite a los compradores potenciales enviar y recibir mensajes hacia y desde los propietarios de listados en la plataforma.
Los cambios deberían limitarse a los usuarios de Filipinas que hayan respondido a anuncios inmobiliarios, lo que permitiría que la información personal de un usuario (que haya dado previamente su consentimiento) se envíe automáticamente al propietario del anuncio inmobiliario, incluidos sus nombres. Direcciones de correo electrónico y números de teléfono.
Sin embargo, debido a un error humano, las direcciones de correo electrónico y los nombres de los usuarios invitados (aquellos que no tenían cuentas registradas en la plataforma) se agregaron automáticamente a todos los mensajes enviados a los propietarios de listados de todas las categorías en todos los mercados. Los números de teléfono de los usuarios invitados en Filipinas también se filtraron en los mensajes.
Carousell no identificó el error en ese momento. Sin embargo, un mes después de la filtración, se implementó una solución para solucionar un problema no relacionado con la funcionalidad de precarga de la función de chat, que desafortunadamente agravó el impacto del error original.
En lugar de solo usuarios invitados, los detalles de los usuarios registrados también se adjuntaron automáticamente a los mensajes.
Carousell finalmente se enteró del error a través de un informe de usuario enviado el 18 de agosto de 2022 y posteriormente implementó una solución el 24 de agosto que solucionó ambos errores. En total, la información personal de 44.477 personas se vio comprometida, incluidas las direcciones de correo electrónico de todos los usuarios afectados y los números de teléfonos móviles de los usuarios en Filipinas.
Después del incidente, Carousell eliminó toda la información personal afectada divulgada en la función de chat antes del 3 de septiembre de 2022 y notificó a los usuarios que escribieron a Carousell sobre la violación de datos antes del 6 de septiembre de 2022.
Un actor de amenazas puso a la venta los datos de 2,6 millones de usuarios en un foro online
Carousell fue alertada sobre la segunda filtración de datos por parte del PDPC en octubre de 2022, cuando identificó a un individuo que ofrecía a la venta la información personal de aproximadamente 2,6 millones de usuarios.
La infracción se produjo cuando Carousell introdujo una interfaz de programación de aplicaciones (API) de acceso público el 15 de enero de 2022, durante un proceso de migración del sistema. Una API permite que los programas o componentes de la computadora se comuniquen entre sí.
Sin embargo, Carousell accidentalmente no pudo aplicar un filtro a esta API, lo que generó una vulnerabilidad que finalmente fue explotada por un actor de amenazas.
La función prevista de la API era recuperar la información personal de los usuarios que un usuario particular de Carousell sigue o sigue. Un filtro aplicado a la API habría asegurado que solo se recuperarían los datos personales disponibles públicamente de estos usuarios (su nombre de usuario, nombre e imagen de perfil).
Sin el filtro, la API pudo recuperar la información personal de los usuarios, incluidas direcciones de correo electrónico, números de teléfono y fechas de nacimiento.
Un actor de amenazas pudo explotar esta vulnerabilidad eliminando las cuentas de 46 usuarios que eran seguidos por una gran cantidad de usuarios o que seguían a muchos otros usuarios. Las investigaciones forenses revelaron que esto ocurrió en mayo y junio de 2022.
El equipo de ingeniería interno de Carousell descubrió la falla de la API el 15 de septiembre de 2022 e implementó un parche ese mismo día. Luego de realizar investigaciones internas para determinar si se produjo acceso no autorizado a los datos personales de sus usuarios en los 60 días anteriores al 15 de septiembre, no se identificaron anomalías.
La plataforma de comercio electrónico desconocía la explotación hasta que fue informada por el PDPC el 13 de octubre de 2022. Luego identificó y suspendió la cuenta del actor de la amenaza y notificó a todos los usuarios afectados por correo electrónico.
No realizar pruebas previas al lanzamiento, falta de documentación adecuada
En la primera filtración de datos, Carousell no realizó pruebas previas al lanzamiento adecuadas al implementar sus cambios en la función de chat de la plataforma, dijo el PDPC. Unas revisiones y pruebas de código adecuadas habrían detectado los errores antes de que se implementaran los cambios.
Carousell reconoció que debido a que los cambios solo afectaron a los usuarios en una categoría específica de listados (por ejemplo, listados de bienes raíces en el mercado filipino), no se realizaron pruebas para examinar cómo los cambios podrían afectar a otros usuarios y las ofertas fuera de la categoría prevista han tenido un impacto.
En la segunda filtración de datos, Carousell había realizado selectivamente revisiones y pruebas de código solo para propósitos específicos y para API específicas durante la migración del sistema.
La empresa no probó la API para detectar riesgos de seguridad de los datos y admitió que no había ordenado revisiones exhaustivas del código por problemas de seguridad antes de la segunda infracción.
En ambos casos, la falta de documentación adecuada también contribuyó a las violaciones. Sin la documentación adecuada, los desarrolladores a menudo no tienen referencias a las que recurrir y pueden hacer suposiciones sobre la lógica del código que podrían conducir a resultados incorrectos.
Cuando el ingeniero de Carousell implementó los cambios en la función de chat de la plataforma, no tenía el conocimiento contextual para darse cuenta de que dichos cambios afectarían a otros usuarios y categorías porque él no era el autor original de la función. Esto contribuyó a la primera filtración de datos.
En cuanto a la segunda infracción, las API involucradas en la migración del sistema se crearon en 2016 y no contaban con la documentación adecuada. Carousell admitió que es posible que sus empleados no supieran que necesitaban aplicar un filtro a la API correspondiente después de la migración.
Carousell “respeta decisión publicada del PDPC”
Tras las filtraciones de datos, Carousell ha tomado varias medidas para evitar que incidentes similares vuelvan a ocurrir. Esto incluye la introducción de una prueba unitaria automatizada que garantiza que la plataforma no agregue incorrectamente información personal en los mensajes de chat y la configuración de su repositorio de GitHub para verificar si hay fugas de datos y generar alertas.
En respuesta al fallo del PDPC, un portavoz de Carousell dijo que la compañía “respeta su decisión publicada con respecto a los incidentes de septiembre y octubre de 2022, que también incluye las medidas correctivas rápidas y efectivas de Carousell para mejorar la seguridad de los datos y prevenir incidentes similares en el futuro”. ser resaltado”.
Carousell ha trabajado para abordar los pasos de remediación recomendados adicionales descritos por PDPC en su decisión final. Ambos incidentes fueron incidentes aislados y únicos que resultaron de errores no relacionados que se introdujeron y desde entonces se resolvieron.
Proteger los datos personales de nuestros usuarios siempre ha sido y es de suma importancia para nosotros. Para garantizar que mantenemos una postura de seguridad sólida y eficaz, invertimos continuamente importantes recursos en mejorar nuestra infraestructura de seguridad y nuestros esfuerzos de ciberseguridad.
– Carrusel
Fuente de la imagen destacada: Carrusel
Lea también: Sospecha de violación de datos de Razer: un hacker exige 100.000 dólares en criptomonedas a cambio de datos robados