Don't Miss

Foodpanda母企洩73萬戶資料 港客中招

By on June 18, 2020

原文刊於信報財經新聞「StartupBeat創科鬥室

今次事故洩漏的個人數據,可以追溯到2016年。(Foodpanda網上圖片)

今次事故洩漏的個人數據,可以追溯到2016年。(Foodpanda網上圖片)

BankInfoSecurity網站報道,網上餐飲外賣送遞平台Foodpanda母企Delivery Hero洩漏了72.7萬個賬戶資料,包括客戶詳細地址,現於網上論壇任人下載。出事品牌為Foodora,被外洩的數據更遠至2016年,據報香港地區亦中招。

消息指出,今次外洩的個人資料,涵蓋姓名、地址、電話和電郵等,幸沒有信用卡等財務數據。受影響的客戶遍及14個國家及地區,除了香港外,分別為阿聯酋、新加坡、德國、西班牙、法國、芬蘭、意大利、奧地利、荷蘭、加拿大、瑞典、挪威及澳洲的Foodora註冊用戶。

據悉,在論壇上發布數據的人聲稱,Foodora早於去年遭到入侵,相關資料到上月19日才被公開放上網,包含一系列SQL文件,一個標記為CustomerAddress,另一個標記為Customers,更逐一列明所屬地區。以澳洲區的數據為例,文件涉及約7.9萬條記錄,建立日期介乎2015年8月25日至2016年4月22日。

有保安專家拆解有關數據,發現可供查看經緯度座標,更暗藏客戶落訂的註釋,例如大廈對講機號碼。此外,亦可能洩露令人尷尬的位置訊息,例如某人為外賣食物付款,而收貨地址並非當事人居住的地址,代表對方或有親戚關係。

數據包含一系列SQL文件,並列明所屬地區。(網上圖片)

數據包含一系列SQL文件,並列明所屬地區。(網上圖片)

Foodora港業務2016年合併

總部位於德國柏林的Delivery Hero確認,今次事故洩漏的個人數據,可以追溯到2016年。該公司已開展內部調查,並通知所有相關當局。旗下的安全及數據保護團隊,正跟地方當局密切合作,找出造成漏洞的原因,並通知受影響的各方。

過去兩年,Delivery Hero在部分國家,例如法國、荷蘭及澳洲、加拿大等結束了Foodora業務。香港市場方面,Foodora於2015年起經營,翌年跟同集團的Foodpanda合併,變成今天的外賣平台Foodpanda

本報曾向香港Foodpanda查詢事件,惟截稿前未獲回覆。Delivery Hero目前受歐盟《通用數據保護條例》(GDPR)約束,監管機構針對相關的違法行為,處以企業全年營業額的4%,或最多2000萬歐羅的罰款(約1.75億港元),以較高者為準。

Foodora於2015年起在本港經營,及後在2016年跟同集團的Foodpanda合併。(黃俊耀攝)

Foodora於2015年起在港經營,及後在2016年跟同集團的Foodpanda合併。(黃俊耀攝)

————————————————————————————————————–

以下為香港Foodpanda官方回應:   

我們很遺憾確認2016年的foodora客戶資料外洩事件。我們於最近發現此外洩事件並為此深感抱歉。資料外洩事件涉及我們全球網絡的14個市場內過去和現在的 foodora客戶。foodpanda 將盡快通知受影響的客戶。

香港是受影響的國家之一,並有約400個獨立電子郵件地址受影響。外洩的資料包括電子郵件地址以及部份客戶資料: 已加密的雜湊密碼、姓名、送遞地址和電話號碼,但不包括完整的密碼。目前,沒有跡象顯示任何現在的客戶資料曾經被或正被第三方查閱。

我們的母公司Delivery Hero正進行徹底的內部調查,並已通知資訊保護部門。 我們將與本地相關機構以及安全和資訊保護團隊緊密合作。

我們非常重視資料的保障。在過去的幾年中,我們在現有的保安框架下實施額外的保護措施,並投資在更先進及完善的資訊保安程序。 我們將繼續遵守最高的資訊安全性和隱私的標準,並進一步努力降低客戶的潛在風險。

————————————————————————————————————–

2020年6月18日下午4時21分更新

支持 StartupBeat

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們