文章
  • 文章
科技

Jollibee交付网站暂停“严重漏洞”

发布时间:2018年5月8日晚上9点13分
更新时间:2018年5月8日下午10:50

菲律宾马尼拉(已更新) - 国家隐私委员会(NPC)暂停了快餐巨头Jollibee的交付网站 ,其中包含其在线系统中的“严重漏洞”。

全国人大于5月8日星期二将暂停令发送给Jollibee Foods Corporation(JFC),并将其发布在 。

在周二的一份声明中,JFC称其暂时取消了Jollibee交付网站。 “作为一项额外的预防措施,”它还自愿取消了其他品牌的交付网站,“汉堡王除外,它位于不同的平台上。”

“有了这个,我们将能够促进更快的在线交付系统改进,并更新安全措施,进一步加强数据保护,”JFC说。

据NPC称,Jollibee数据库中约有1800万人 - 使用该网站订购的人 - 目前面临遭受在线伤害的“极高风险”。

该委员会表示,用户面临如此高的风险,因为“较小的系统具有更强大的安全措施”已经暴露出来。 根据NPC的调查结果,Jollibee的系统看起来非常弱。

相比之下,上周暴露了大约82,150人。

违反历史

在Jollibee在2017年12月报告数据泄露事件发生数月后,暂停订单发布数月。

JFC通过其数据隐私官J'Mabelard Gustilo向全国人大通报了2017年12月8日发生的数据泄露事件。然后,未知实体能够访问jollibeedelivery.com的客户数据库。

全国人大的调查发现,违规行为是概念验证测试的结果,而Jollibee自己的营销公关团队则是通过第三方本地网络安全公司发起的。 在这种情况下,测试用于检查系统是否安全。

该网络安全公司的一名成员告诉NPC,他们确实能够利用漏洞,但没有抓取或泄露任何数据,他们只是证明了他们访问jollibeedelivery.com上的数据的能力。

目前尚不清楚为什么Jollibee的营销公关团队正在针对与其交付网站相关的网络安全问题启动概念验证测试,以及为什么JFC自己的数据隐私官似乎对此不了解。

在NPC文件中,Gustilo对第三方本地网络安全公司的唯一声明是,它“被视为一个没有权力渗透其IT基础设施的未经授权的实体或陌生人”。

暂停令

事件发生后,全国人大注意到一些数据隐私的改进,但最终发现该网站仍然容易受到攻击者的攻击,即使是“技术知识和技能也很少到中等”。

这些结论最终导致了暂停命令,该命令将无限期地到位,直到新系统通过NPC的测试。

随着暂停,JFC还被要求提交安全计划,重新设计其隐私数据基础设施,评估漏洞的影响,并提交月度报告,直到数据隐私问题得到解决。

“我们目前正在解决[NPC]概述的问题,我们正在与他们密切协调。除了NPC分享的内容外,我们一直在进行自己的调查并对我们的系统进行安全检查,”JFC说。

“我们向公众保证,保护客户个人数据的机密性仍然是Jollibee Foods Corporation的首要任务。”

在暂停订单之前,Gustilo承认数据库保护不是最新的,并且某些数据未加密。 他还提到公司在提出保护方面遇到的困难,例如预算限制,低优先级或组织内的彻底不感兴趣。 - Rappler.com