SINGAPUR – El minorista de productos electrónicos Courts recibió una multa de $ 9,000 por no proteger los datos personales de los clientes, como nombres, números de teléfonos móviles y direcciones, la segunda vez en dos años que violó las leyes de protección de datos.
Según una decisión escrita de la Comisión de Protección de Datos Personales (PDPC) publicada el viernes pasado (16 de octubre), un correo electrónico de marketing del programa de miembros de la Corte enviado el 31 de agosto del año pasado expuso los datos personales de 76.844 clientes con riesgo de acceso y modificación no autorizados.
El correo electrónico contenía un enlace que dirigía a los clientes al portal de miembros, donde debían iniciar sesión y proporcionar sus números de teléfono celular como forma de identificación.
Pero los enlaces en correos electrónicos anteriores nunca requerían que los miembros iniciaran sesión, y la configuración predeterminada en el sitio web del Tribunal no tuvo en cuenta este cambio.
Esto creó un problema en el que si un miembro hacía clic en el enlace para iniciar sesión y no se desconectaba dentro de los 60 minutos, todos los miembros que hicieran clic en el enlace dentro de los próximos 60 minutos serían automáticamente dirigidos a su cuenta.
La información financiera no se almacenó en el sistema, pero los nombres de los miembros, la fecha de nacimiento, el número de teléfono celular y la dirección estaban en riesgo de ser accedidos y modificados debido a la violación.
Los tribunales fueron notificados de la violación por un miembro el mismo día y solucionaron el problema aproximadamente 16 horas después de que se envió el correo electrónico, durante las cuales 128 miembros hicieron clic en el enlace. La compañía notificó a los 128 por correo electrónico y también implementó la verificación de contraseña en enero de este año para cualquier cambio realizado en la información de la cuenta de miembro.
“Courts está totalmente comprometido con la protección de los datos personales de los clientes. Lamentamos que haya ocurrido este incidente y actuamos rápidamente para contenerlo en 16 horas, con un impacto mínimo para nuestros clientes ”, dijo un vocero.
“Informamos proactivamente el incidente al PDPC y cooperamos plenamente durante la investigación. Aceptamos su decisión y, después del incidente, revisamos nuestros (procedimientos operativos estándar) y continuamos realizando pruebas de penetración en nuestro sitio web a intervalos regulares. “
El comisionado adjunto del PDPC, Yeong Zee Kin, dijo que los tribunales no realizaron las pruebas adecuadas antes de que se implementara el nuevo enlace, y señaló que solo había un funcionario a cargo de crear y probar el enlace.
“El empleado realizó una prueba limitada de envío (correo electrónico) que contiene el nuevo (enlace) a sí mismo … Esta prueba limitada fue claramente inadecuada”, dijo Yeong. “La prueba previa al lanzamiento de procesos o sistemas debe imitar el uso esperado en el mundo real … En el caso presente, la organización tenía la intención de enviar (correo electrónico) a un gran número de miembros”.
Yeong también señaló que esta es la segunda vez que los tribunales son declarados culpables de violaciones de datos, pero agregó que la sanción financiera se ha reducido después de considerar las circunstancias financieras de la empresa debido a los desafíos sin precedentes que enfrentan las empresas en medio de la actual Pandemia de COVID-19.
La compañía fue multada con $ 15,000 en enero del año pasado por una vulnerabilidad en su sitio web que potencialmente exponía el número de contacto y la dirección de un miembro a cualquiera que ingresara el nombre y la dirección de correo electrónico del miembro en la página. inicio de sesión de invitado de la corte.
En otras sentencias emitidas el viernes pasado, el Tanah Merah Country Club fue multado con $ 4,000 por enviar correos electrónicos no autorizados a través de su sistema de correo electrónico mal protegido.