Foodpanda母企洩73萬戶資料 港客中招

原文刊於信報財經新聞「StartupBeat創科鬥室」

BankInfoSecurity網站報道，網上餐飲外賣送遞平台Foodpanda母企Delivery Hero洩漏了72.7萬個賬戶資料，包括客戶詳細地址，現於網上論壇任人下載。出事品牌為Foodora，被外洩的數據更遠至2016年，據報香港地區亦中招。

消息指出，今次外洩的個人資料，涵蓋姓名、地址、電話和電郵等，幸沒有信用卡等財務數據。受影響的客戶遍及14個國家及地區，除了香港外，分別為阿聯酋、新加坡、德國、西班牙、法國、芬蘭、意大利、奧地利、荷蘭、加拿大、瑞典、挪威及澳洲的Foodora註冊用戶。

據悉，在論壇上發布數據的人聲稱，Foodora早於去年遭到入侵，相關資料到上月19日才被公開放上網，包含一系列SQL文件，一個標記為CustomerAddress，另一個標記為Customers，更逐一列明所屬地區。以澳洲區的數據為例，文件涉及約7.9萬條記錄，建立日期介乎2015年8月25日至2016年4月22日。

有保安專家拆解有關數據，發現可供查看經緯度座標，更暗藏客戶落訂的註釋，例如大廈對講機號碼。此外，亦可能洩露令人尷尬的位置訊息，例如某人為外賣食物付款，而收貨地址並非當事人居住的地址，代表對方或有親戚關係。

Foodora港業務2016年合併

總部位於德國柏林的Delivery Hero確認，今次事故洩漏的個人數據，可以追溯到2016年。該公司已開展內部調查，並通知所有相關當局。旗下的安全及數據保護團隊，正跟地方當局密切合作，找出造成漏洞的原因，並通知受影響的各方。

過去兩年，Delivery Hero在部分國家，例如法國、荷蘭及澳洲、加拿大等結束了Foodora業務。香港市場方面，Foodora於2015年起經營，翌年跟同集團的Foodpanda合併，變成今天的外賣平台Foodpanda。

本報曾向香港Foodpanda查詢事件，惟截稿前未獲回覆。Delivery Hero目前受歐盟《通用數據保護條例》（GDPR）約束，監管機構針對相關的違法行為，處以企業全年營業額的4%，或最多2000萬歐羅的罰款（約1.75億港元），以較高者為準。

————————————————————————————————————–

以下為香港Foodpanda官方回應：   

我們很遺憾確認2016年的foodora客戶資料外洩事件。我們於最近發現此外洩事件並為此深感抱歉。資料外洩事件涉及我們全球網絡的14個市場內過去和現在的 foodora客戶。foodpanda 將盡快通知受影響的客戶。

香港是受影響的國家之一，並有約400個獨立電子郵件地址受影響。外洩的資料包括電子郵件地址以及部份客戶資料： 已加密的雜湊密碼、姓名、送遞地址和電話號碼，但不包括完整的密碼。目前，沒有跡象顯示任何現在的客戶資料曾經被或正被第三方查閱。

我們的母公司Delivery Hero正進行徹底的內部調查，並已通知資訊保護部門。 我們將與本地相關機構以及安全和資訊保護團隊緊密合作。

我們非常重視資料的保障。在過去的幾年中，我們在現有的保安框架下實施額外的保護措施，並投資在更先進及完善的資訊保安程序。 我們將繼續遵守最高的資訊安全性和隱私的標準，並進一步努力降低客戶的潛在風險。

————————————————————————————————————–

2020年6月18日下午4時21分更新

支持EJ Tech

如欲投稿、報料，發布新聞稿或採訪通知，按這裏聯絡我們。