东南教育网您的位置:首页 >互联网 >

发生安全漏洞后Grab必须审查数据策略

在移动应用平台多次违反该国的个人数据保护法之后,新加坡命令Grab实施“设计政策保护数据”,安全观察家说,这表明需要进行“认真审查”。

Grab必须重新评估其网络安全框架,尤其是在移动应用程序平台报告了一系列破坏其客户数据的违规行为之后。最新的安全事件促使新加坡个人数据保护委员会(PDPC)处以10,000新元(合7,325美元)的罚款,并下令在120天内对公司的数据保护政策进行审查。

当Grab通知PDPC对其移动应用程序进行的更改导致未经授权访问其驱动程序时,该漏洞于2019年8月30日暴露出来。后来的进一步调查显示,有21541名GrabHitch驾驶员和乘客的个人信息容易受到未经授权的访问的风险,包括车辆编号,乘客姓名和电子钱包余额(包括乘车付款历史)。

Grab已部署了一个更新程序,以在其API(应用程序编程接口)中插入潜在的漏洞,但这导致数据泄露。

PDPC在其报告中指出,Grab对其系统进行了更改,但未确保“合理的安全安排”已到位,以防止个人数据集受到损害。缺乏足够健壮的流程来管理其IT系统的更改是一个“特别严重的错误”,因为这是供应商第二次犯类似的错误,第一次是影响另一个系统。

该委员会指出,Grab对其应用程序进行了更改,但不了解此类更改如何与应用程序及其更广泛的IT系统的现有功能一起运行。

PDPC表示,在将更新部署到其应用程序之前,它也没有进行适当的范围测试,并指出组织必须在引入新的IT功能或对其系统进行更改之前这样做。“这些测试需要模拟实际使用情况,包括在引入更改后在正常操作环境中可预见的情况。在部署之前进行此类测试对于使组织能够检测和纠正新IT功能中的错误和/或受到警告至关重要可能导致个人数据遭受风险的变更带来的任何意外影响,”委员会说。

它补充说,Grab承认它没有进行测试来模拟多个访问其应用程序的用户或进行特定测试,以验证缓存机制(导致违规的组件)将如何与更新一起工作。

PDPC强调该公司现在已经四次违反了新加坡PDPA中的第24条,并表示这是“重大担忧”,特别是考虑到Grab的业务涉及每天处理大量个人数据。第24节概述了组织通过制定“合理的安全性安排”来防止未经授权的访问,收集,使用,披露,复制,修改或类似风险来保护拥有或受其控制的个人数据的必要性。

总部位于新加坡的Grab最初是拼车运营商,现在提供的服务组合包括送餐,数字支付和保险。它还宣布了 对数字的银行牌照竞标,沿着新加坡电信的合作伙伴,在 新加坡,在那里两家公司将针对“数字第一”的消费者和中小型企业。该伙伴关系将导致一个联合实体,Grab将拥有该联合实体60%的股份。Grab的业务遍及八个亚太市场,包括印度尼西亚,马来西亚,泰国和越南。

除了罚款之外,PDPC还指示Grab在120天内对其移动应用程序放置“设计政策保护数据”,以减少再次发生数据泄露的风险。

ZDNet向Grab询问了几个问题,包括公司计划审查的特定领域,在最初的违规行为之后制定的安全策略,以及随着公司近年来引入新服务而采取的确保安全性融入其各种流程的步骤。

它没有回答任何这些问题,而是回复了先前发布的声明:“数据的安全性和用户的隐私对我们而言至关重要,我们很抱歉令他们失望。事件发生时数据发现于2019年8月30日被发现,我们立即采取行动保护用户数据并将其自我报告给PDPC。为防止数据再次出现,我们从那时起引入了更强大的流程,尤其是与IT环境测试有关的流程,以及更新了治理程序,并对我们的旧版应用程序和源代码进行了架构审查。”

Synopsys Software Integrity Group亚太区客户服务经理Ian Hall指出,自2018年以来四次违反了PDPA,似乎表明Grab需要进行“认真审查”。特别是,公司应评估其发布过程,在发布应用程序之前必须通过必需的测试和检查点。

他引用了Enterprise Strategy Group的研究报告,指出将易受攻击的代码移至生产中很常见,这通常是由于公司需要在截止日期之前完成。

Sophos的全球解决方案工程师Aaron Bugal对此表示赞同,并指出Grab的安全性是组织迅速扩张的一个“经典例子” ,但该组织并未按比例扩展其安全策略和技术控制。Bugal在电子邮件采访中对ZDNet表示:“鉴于这是其在移动设备上的应用程序的另一个问题,明智的做法是,在应用程序发布之前,先评估一下该应用程序的安全性。”

当被问到对于像Grab这样迅速扩展其服务组合以确保安全性保持稳定的公司是否具有挑战性时,Hall表示,维护涵盖各种功能的日益复杂的应用程序肯定会更加困难。

他解释说,某些旧代码部分可能不会像更新代码那样频繁地更新,同时,更新代码也可能引入新的漏洞。

他说:“开发人员可能倾向于将精力集中在更新的代码上,而回去修复遗留代码部分中的漏洞可能会更加困难。” “这就是为什么总是最好在开发生命周期中及早发现并解决问题,并使安全工具很好地集成到开发流程中,这就是为什么。”

Bugal指出,随着组织发展业务,将捕获更多的客户数据,并且安全措施应与应用程序和收集的数据一起扩展。

他补充说,对公司运营模式的任何更改都应包含概念阶段的安全体系结构。他说:“一旦发布变更,就没有追溯力或没有想到这一点。”

Hall表示,开发人员经常由于不安全而无意中引入了漏洞。他指出,一些最常见的漏洞是由于不正确使用Google的Android或Apple的iOS移动平台,不安全的数据存储和不安全的通信引起的。

Bugal补充说,一些组织还使用了过时的开发工具,并且不会实现评估许多应用程序用作基础的库和共享代码的服务。他解释说:“这些有时可以毫无漏洞地将漏洞引入到应用程序中。” “使用现代化的开发环境,包括在形成和发布阶段进行安全性设计和对应用程序的评估,对于更好的安全性是不可或缺的。”

他指出,对移动应用程序的更改通常会被应用程序商店的前台自动接受,并在发布时应用于移动设备,从而使移动消费者在应用程序设计和整体安全性方面“受开发人员的左右”。

他说:“作为消费者,我们应该了解组织正在收集什么数据,如何存储它们,并了解如果这些数据有泄漏的风险。”

Hall补充道:“我建议移动和其他设备的用户保持其应用程序和操作系统的最新状态。此外,请使用应用程序并仅向您信任的公司和应用程序提供个人详细信息。在Android平台上,我们可以禁用以下功能:不能访问它们的应用程序。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。