Carousell wurde wegen zweier Datenschutzverstöße im Jahr 2022 mit einer Geldstrafe von 58.000 S$ belegt, wobei bei einem davon die personenbezogenen Daten von rund 2,6 Millionen Carousell-Nutzern offengelegt wurden. Die Verstöße wurden gestern (22. Februar) in einem Urteil der Personal Data Protection Commission (PDPC) detailliert beschrieben.
Die erste Datenschutzverletzung ereignete sich im Juli 2022, als Carousell Änderungen an seiner Chat-Funktion vornahm. Die Chat-Funktion ist eine Funktion, die es potenziellen Käufern ermöglicht, Nachrichten an und von Eintragseigentümern auf der Plattform zu senden und zu empfangen.
Die Änderungen sollten auf Benutzer auf den Philippinen beschränkt sein, die auf Immobilienanzeigen geantwortet haben, was es ermöglichen würde, dass die persönlichen Daten eines Benutzers (der zuvor seine Zustimmung gegeben hat) automatisch an den Eigentümer der Immobilienanzeige gesendet werden, einschließlich ihrer Vornamen. E-Mail-Adressen und Telefonnummern.
Aufgrund menschlicher Fehler wurden jedoch die E-Mail-Adressen und Namen von Gastbenutzern (diejenigen, die keine registrierten Konten auf der Plattform hatten) automatisch an alle Nachrichten angehängt, die an die Eintragseigentümer aller Kategorien in allen Märkten gesendet wurden. Von Gastnutzern auf den Philippinen wurden in den Nachrichten auch deren Telefonnummern durchgesickert.
Carousell identifizierte den Fehler damals nicht. Einen Monat nach dem Leck wurde jedoch ein Fix implementiert, um ein nicht damit zusammenhängendes Problem mit der Vorausfüllungsfunktion der Chat-Funktion zu beheben, was leider die Auswirkungen des ursprünglichen Fehlers verstärkte.
Anstelle von nur Gastbenutzern wurden den Nachrichten auch automatisch die Daten registrierter Benutzer angehängt.
Carousell wurde schließlich durch einen am 18. August 2022 gesendeten Benutzerbericht auf den Fehler aufmerksam gemacht und implementierte anschließend am 24. August einen Fix, der beide Fehler behob. Insgesamt wurden die persönlichen Daten von 44.477 Personen, darunter E-Mail-Adressen aller betroffenen Benutzer und Mobiltelefonnummern von Benutzern auf den Philippinen, kompromittiert.
Nach dem Vorfall löschte Carousell bis zum 3. September 2022 alle betroffenen personenbezogenen Daten, die in der Chat-Funktion offengelegt wurden, und benachrichtigte Benutzer, die Carousell über die Datenpanne geschrieben hatten, bis zum 6. September 2022.
Ein Bedrohungsakteur hat die Daten von 2,6 Millionen Nutzern in einem Online-Forum zum Verkauf angeboten
Carousell wurde vom PDPC im Oktober 2022 auf das zweite Datenleck aufmerksam gemacht, als es eine Einzelperson identifizierte, die die personenbezogenen Daten von etwa 2,6 Millionen Nutzern zum Verkauf anbot.
Der Verstoß entstand, als Carousell am 15. Januar 2022 während eines Systemmigrationsprozesses eine öffentlich zugängliche Anwendungsprogrammierschnittstelle (API) einführte. Eine API ermöglicht es Computerprogrammen oder Komponenten, miteinander zu kommunizieren.
Carousell versäumte es jedoch versehentlich, einen Filter auf diese API anzuwenden, was zu einer Schwachstelle führte, die schließlich von einem Bedrohungsakteur ausgenutzt wurde.
Die beabsichtigte Funktion der API bestand darin, die persönlichen Daten von Benutzern abzurufen, denen ein bestimmter Carousell-Benutzer folgt oder die ihm folgen. Ein auf die API angewendeter Filter hätte dafür gesorgt, dass nur öffentlich zugängliche personenbezogene Daten dieser Nutzer – ihr Benutzername, Name und Profilbild – abgerufen würden.
Ohne den Filter konnte die API die persönlichen Daten der Nutzer abrufen, darunter E-Mail-Adressen, Telefonnummern und Geburtsdaten.
Ein Bedrohungsakteur konnte diese Lücke ausnutzen, indem er die Konten von 46 Benutzern löschte, denen eine große Anzahl von Benutzern folgte oder die vielen anderen Benutzern folgten. Forensische Untersuchungen ergaben, dass dies im Mai und Juni 2022 geschah.
Das interne Engineering-Team von Carousell entdeckte den API-Fehler am 15. September 2022 und stellte am selben Tag einen Patch bereit. Nach der Durchführung interner Untersuchungen, um festzustellen, ob in den 60 Tagen vor dem 15. September ein unbefugter Zugriff auf die persönlichen Daten seiner Benutzer stattgefunden hat, wurden keine Anomalien festgestellt.
Die E-Commerce-Plattform war sich der Ausnutzung nicht bewusst, bis sie am 13. Oktober 2022 vom PDPC informiert wurde. Anschließend identifizierte und sperrte sie das Konto des Bedrohungsakteurs und benachrichtigte alle betroffenen Benutzer per E-Mail.
Unterlassene Durchführung von Pre-Launch-Tests, fehlende ordnungsgemäße Dokumentation
Bei der ersten Datenpanne habe es Carousell versäumt, bei der Implementierung seiner Änderungen an der Chat-Funktion der Plattform angemessene Tests vor dem Start durchzuführen, so das PDPC. Angemessene Codeüberprüfungen und -tests hätten die Fehler entdeckt, bevor die Änderungen live gingen.
Carousell räumte ein, dass, da die Änderungen nur Auswirkungen auf Nutzer in einer bestimmten Kategorie von Angeboten hatten (z. B. Immobilienangebote auf dem philippinischen Markt), keine Tests durchgeführt wurden, um zu prüfen, wie sich die Änderungen möglicherweise auf andere Nutzer und Angebote außerhalb der vorgesehenen Kategorie ausgewirkt haben.
Bei der zweiten Datenschutzverletzung hatte Carousell während der Systemmigration selektiv Codeüberprüfungen und -tests nur für bestimmte Zwecke und für bestimmte APIs durchgeführt.
Das Unternehmen versäumte es, die API auf Datensicherheitsrisiken zu testen und gab zu, dass es vor dem zweiten Verstoß keine umfassenden Codeüberprüfungen auf Sicherheitsprobleme vorgeschrieben hatte.
In beiden Fällen trug auch das Fehlen ordnungsgemäßer Dokumentation zu den Verstößen bei. Ohne ordnungsgemäße Dokumentation haben Entwickler oft keine Referenzen, auf die sie zurückgreifen können, und treffen möglicherweise Annahmen über die Codelogik, die zu falschen Ergebnissen führen könnten.
Als der Ingenieur von Carousell die Änderungen an der Chat-Funktion der Plattform implementierte, verfügte er nicht über das Kontextwissen, um zu erkennen, dass sich solche Änderungen auf andere Benutzer und Kategorien auswirken würden, da er nicht der ursprüngliche Autor der Funktion war. Dies trug zum ersten Datenverstoß bei.
Was den zweiten Verstoß betrifft, so wurden die an der Systemmigration beteiligten APIs im Jahr 2016 erstellt und verfügten nicht über eine ordnungsgemäße Dokumentation. Carousell gab zu, dass seinen Mitarbeitern möglicherweise nicht bewusst war, dass sie nach der Migration einen Filter auf die entsprechende API anwenden mussten.
Carousell „respektiert die veröffentlichte Entscheidung des PDPC“
Nach den Datenschutzverletzungen hat Carousell verschiedene Maßnahmen ergriffen, um die Wiederholung ähnlicher Vorfälle zu verhindern. Dazu gehört die Einführung eines automatisierten Unit-Tests, der sicherstellt, dass die Plattform nicht fälschlicherweise persönliche Daten in Chat-Nachrichten anhängt, und die Konfiguration ihres GitHub-Repositorys, um nach Datenlecks zu suchen und Warnungen zu generieren.
Als Reaktion auf das Urteil des PDPC teilte ein Carousell-Sprecher mit, dass das Unternehmen „ihre veröffentlichte Entscheidung bezüglich der Vorfälle im September und Oktober 2022 respektiert, in der auch Carousells schnelle und wirksame Abhilfemaßnahmen zur Verbesserung der Datensicherheit und zur Verhinderung ähnlicher Vorfälle in der Zukunft hervorgehoben werden“.
Carousell hat daran gearbeitet, die zusätzlichen empfohlenen Sanierungsschritte in Angriff zu nehmen, die PDPC in seiner endgültigen Entscheidung dargelegt hat. Bei beiden Vorfällen handelte es sich um isolierte, einmalige Vorfälle, die auf nicht zusammenhängende Fehler zurückzuführen waren, die eingeführt und inzwischen behoben wurden.
Der Schutz der persönlichen Daten unserer Nutzer war und ist für uns immer von größter Bedeutung. Um sicherzustellen, dass wir eine robuste und effektive Sicherheitslage aufrechterhalten, investieren wir kontinuierlich erhebliche Ressourcen in die Verbesserung unserer Sicherheitsinfrastruktur und Cybersicherheitsbemühungen.
– Karussell
Ausgewählte Bildquelle: Carousell
Lesen Sie auch: Mutmaßlicher Razer-Datenverstoß: Hacker verlangt 100.000 US-Dollar in Krypto als Gegenleistung für gestohlene Daten
