La Comisión de Protección de Datos Personales (PDPC) del organismo de vigilancia de la privacidad de Singapur anunció el lunes (4 de noviembre) que tanto Singtel como Ninja Logistics han sido acusados por delitos de violación de datos.
Telco Singtel recibió una multa de $ 25,000, mientras que Ninja Logistics, que proporciona servicios de logística bajo la startup local Ninja Van, recibió una multa de $ 90,000.
Para Singtel, la información personal de aproximadamente 330,000 de sus suscriptores se puso en riesgo de divulgación.
Debido a una falla de diseño en la aplicación My Singtel, los usuarios podrían acceder potencialmente a las cuentas de otros clientes, exponiendo detalles como información de facturación, nombres y direcciones.
PDPC dijo que cualquier persona con conocimiento práctico de cómo una aplicación móvil se comunica con los servidores podría haber explotado la vulnerabilidad, y las herramientas necesarias para hacerlo están disponibles en línea.
"El informante accedió a cuatro cuentas de facturación y extrajo el nombre del cliente, la dirección de facturación, el número de cuenta de facturación, el número de teléfono móvil y los planes de servicio al cliente (incluidos los datos, el tiempo de conversación y el uso de SMS)", agregó.
Si bien no hubo más pruebas de acceso no autorizado, Singtel "no logró establecer medidas de seguridad razonables" para proteger los datos personales de los clientes.
Singtel realmente contrató a un proveedor externo para realizar pruebas de seguridad periódicas en la aplicación y los sistemas móviles, pero no pudo detectar la falla de diseño que causó la violación de datos.
PDPC señaló que Singtel "debería haber sido más diligente al realizar una evaluación exhaustiva", especialmente después de que se descubriera una vulnerabilidad similar en una prueba de seguridad de 2015.
Por esto, se le podría haber cobrado una multa máxima de $ 1 millón, pero PDPC señaló que "la explotación de la vulnerabilidad requiere cierto nivel de experiencia técnica".
La aplicación My Singtel se ha solucionado desde entonces, y la última versión no tiene este problema de diseño.
PDPC: las empresas deben implementar un "Acuerdo de seguridad viable"
Por otro lado, Ninja Logistics dejó datos personales de hasta 1.26 millones de individuos expuestos en línea.
Se informó a PDPC en abril del año pasado que la función de seguimiento de pedidos en su sitio web permitía a los usuarios ingresar un número de seguimiento diferente, así como acceder a información como nombres, direcciones y firmas de aquellos cuyo estado de entrega de paquetes estaba configurado como "completado" .
Esto continuó de 2016 a 2018. Luego, en agosto de 2016, otros 2.6 millones de números de seguimiento archivados eliminaron de la vista los datos de los clientes anteriores.
PDPC señaló que los datos personales expuestos no se habían recopilado ni utilizado de manera malintencionada.
Según Ninja Van, hay un límite en la cantidad de veces que un solo usuario puede intentar recuperar los detalles del paquete. Según sus registros, no ha habido anomalías en los patrones de acceso.
PDPC ha dictaminado que Ninja Logistics ahora debe asegurarse de que los números de seguimiento caduquen después de un cierto tiempo una vez que se completen los pedidos. El tiempo debe ser "lo más razonablemente corto posible mientras se satisfacen las necesidades comerciales".
Afirmó que es necesario que Ninja Van "implemente un acuerdo de seguridad viable para proteger los datos personales expuestos".
Desde entonces, la empresa implementó cambios como no permitir el seguimiento de los paquetes dos semanas después de la entrega y eliminar los nombres y firmas de los destinatarios de su página web desde mediados de octubre de 2019.
Crédito de la imagen destacada: Nikkei Asian Review / Ninja Van