Violation de données RedDoorz
Une base de données cloud mal configurée a exposé les dossiers d'environ 5,9 millions de clients de la plateforme de réservation hôtelière RedDoorz, ce qui en fait la plus grande violation de données de Singapour à l'époque et a valu une amende emblématique du PDPC à l'exploitant Commeasure.
- Victime
- RedDoorz (Commeasure Pte Ltd)
- Perte
- $54.5K
- données
- 5.9M
- utilisateurs
- 5.9M
En septembre 2020, la start-up hôtelière RedDoorz, basée à Singapour, a subi une violation qui a exposé environ 5,9 millions de dossiers clients — à l'époque la plus grande violation de données depuis l'entrée en vigueur en 2014 de la loi sur la protection des données personnelles (PDPA) de Singapour. La violation ne découlait pas d'une attaque sophistiquée mais d'un identifiant cloud laissé intégré dans une ancienne application mobile.
Ce qui s'est passé
RedDoorz, exploitée par Commeasure Pte Ltd, gère une plateforme de réservation d'hôtels économiques en Asie du Sud-Est. Le 19 septembre 2020, une société de cybersécurité américaine a alerté l'entreprise que l'une de ses bases de données avait fait l'objet d'un accès non autorisé. Commeasure a notifié la Commission de protection des données personnelles (PDPC) le 25 septembre.
Les enquêteurs ont attribué l'exposition à une clé d'accès intégrée dans un APK Android obsolète et inutilisé toujours disponible publiquement. La clé donnait accès à une base de données hébergée sur Amazon Web Services, permettant à un attaquant d'interroger et d'exfiltrer l'intégralité du jeu de données clients. Le PDPC a constaté que Commeasure n'avait aucun processus de gestion ou de suppression des identifiants dans le code hérité et n'avait pas détecté l'exposition par elle-même.
Impact
- Environ 5,9 millions de dossiers clients ont été exposés, notamment noms, numéros de téléphone, adresses e-mail, dates de naissance, mots de passe chiffrés et informations de réservation.
- Des numéros de carte de crédit masqués étaient présents, mais les numéros de carte complets et les CVV n'ont pas été compromis, limitant la fraude financière directe.
- Seuls environ 9 000 clients concernés étaient des Singapouriens, mais la violation relevait du PDPA car Commeasure est basée à Singapour.
Sanction
Le 15 novembre 2021, le PDPC a infligé à Commeasure une amende de 74 000 S$ (environ 54 000 US$). Bien qu'il s'agisse de la plus grande violation par le volume à ce jour, l'amende était relativement modeste — la Commission a explicitement cité les difficultés financières que la pandémie de COVID-19 avait infligées au secteur de l'hôtellerie comme circonstance atténuante dans la fixation de la sanction.
Pourquoi c'est important
Le cas RedDoorz est devenu un exemple type de mauvaise configuration cloud et d'échec de la gestion des secrets. La cause première — un identifiant codé en dur, livré dans une application mobile et jamais renouvelé ni révoqué — figure parmi les erreurs de sécurité cloud les plus courantes et les plus évitables. La décision du PDPC a souligné que les organisations sont responsables de l'ensemble du cycle de vie des identifiants d'accès, y compris ceux enfouis dans du code obsolète, et que les manquements à l'obligation de protection peuvent être sanctionnés même lorsque la plupart des personnes concernées résident à l'étranger. Cela demeure un précédent d'application fréquemment cité à Singapour pour les start-up qui se développent sur une infrastructure cloud plus vite que leurs pratiques de sécurité.
Impact financier
Coûts déclarés en USD
- Amendes & règlements$54.5K
Chronologie
Commeasure est alertée par une société de cybersécurité américaine qu'une base de données contenant des données clients a été compromise.
Commeasure notifie la Commission de protection des données personnelles (PDPC) de Singapour de la violation.
L'enquête révèle qu'une clé d'accès intégrée dans un ancien APK Android inutilisé exposait une base de données hébergée sur AWS de 5,9 millions de dossiers.
Le PDPC inflige à Commeasure une amende de 74 000 S$ pour absence de mesures de sécurité raisonnables.
La sanction et les détails de la violation sont rendus publics ; il s'agit alors de la plus grande violation de données depuis l'entrée en vigueur du PDPA de Singapour.
Sources
- marketing-interactive.comhttps://www.marketing-interactive.com/personal-data-protection-commission-fines-reddoorz-sgs-site-operator-over-data-breach
- theregister.comhttps://www.theregister.com/2021/11/18/redoorz_fined_for_massive_data_leak/
- theindependent.sghttps://theindependent.sg/spores-largest-data-breach-affects-5-9-million-reddoorz-hotel-booking-site-customers/
- secureblink.comhttps://www.secureblink.com/cyber-security-news/reddoorz-incurred-a-fine-of-dollar54456-by-pdpc-of-singapore-following-a-data-breach-exposing-5.9-million-customers