這起事件發生在2020年10月,RedMart用戶的個人資料被人在網絡論壇上兜售,這些資料包括名字、密碼、電話號碼和信用卡部分號碼。母公司Lazada過後證實,被盜的資料來自RedMart唯一的資料庫,這個資料庫自從2019年3月起就沒有更新,而且沒有連接母公司的資料庫。
個人資料保護委員會在調查後表示,RedMart在2016年被Lazada收購後,就開始分階段進行系統遷移。不過,公司連接用戶資料庫的後端系統仍儲存在雲端,但沒有進行加密。
調查發現,有人在2020年9月通過一個被泄露的職員帳號入侵資料庫,接著就有人在網上兜售將近89萬8800名用戶的資料。
事件發生後,RedMart和Lazada推行了多項補救措施。委員會在做出罰款決定時,將這些措施考慮在內。