RedMart面向客户的网站和应用2019年3月完成迁移时,连接至用户数据库的后端系统未完全迁移,并储存于第三方提供的云端服务。

有鉴于事件影响有限和康盛医疗迅速的补救措施,个资保委会不对康盛医疗进行罚款,只发出指示要求公司搜查网络确保没有个人资料公布在网上,并在检讨应用部署程序时,落实启用前进行安全测试等数据保护措施。

个资委员会星期一公布的裁决显示,康盛医疗健康申报平台2020年4月16日启用后,所收取的访客信息同时储存在可公开访问的逗号分隔值(CSV)文件,以及安全的数据库中。直到同年9月8日,开发人员才纠正软件代码,只将信息储存于数据库。

事发后RedMart和Lazada采取多项补救和预防措施,包括重置所有受影响的账户,以及为所有个人资料数据库落实认证程序。受影响的用户同年10月开始陆续收到通知,公司也发布文告披露事件。

康盛医疗2020年也出现数据保护疏漏,使外界可获取4万4679名访客的信息,但没有充足证据显示这些资料已外泄。

康盛医疗也曾出现疏漏 但无证据显示资料外泄

网上超市RedMart近90万名用户的资料被盗取,平台因未能合理落实保护措施,被罚款7万2000元。

平台收集的信息有访客名字、身份证或护照号码、诊所名字和近期是否有接触冠病病毒。

2020年9月,有人通过RedMart职员的账号入侵含有89万8791名用户资料的数据库后,数据库于10月在网上被兜售。不过,Lazada证实被盗的数据库自2019年3月就没有更新,也未连接至母公司的数据库。

Lazada发言人受询时说,RedMart自这起事件后已与个资委员会紧密合作,进一步加强数据安全保护措施和行动,并强调有信心客户数据获保障。

根据个人资料保护委员会星期一(12月19日)在网站公布的裁决,2016年RedMart被电商平台Lazada收购后,开始分阶段迁移系统,与Lazada整合。

这个2020年被盗取的数据库含有客户的名字、地址和信用卡部分号码,以及卖家信用卡的部分号码等信息。数据库随后在网络论坛上被兜售。

不过,康盛医疗聘请的法证调查员并没有发现任何表明数据已被导出并发布上网的证据,服务器记录也显示CSV文件访问次数有限,并且很可能是投诉人和个资委员会调查时所做的访问。文件目前已被移除。