一家和本地学校合作的软件开发公司,因未能于2016年时期,在黑客入侵时保护将近4万8000名学生、家长和学校职员的个人资料,被罚款六万元。

有关的软件公司负责提供校方有关签到系统(attendance-taking technology),但是该系统在创建中出现漏洞,致使黑客能从中进行网络攻击并窃取数据。

根据新加坡个人资料保护委员会(PDPC)于周四(5日)发文告指出,由Learnaholic软件公司所造成的漏洞,是能够避免的,而遭殃的学校并没有公布。

该校大约4万7800人的姓名、身份证号码、地址和联络号码被黑客窃取,PDPC也补充,有约370名学生的医疗信息被盗。

根据《海峡时报》调查显示,目前Learnaholic已关闭网站,而所列出的电话号码也已无法拨通。

人为疏忽让黑客轻易入侵

除了今年1月,新加坡保健服务集团(SingHealth)和综合保健信息系统公司(Integrated Health Information Systems,IHis)因去年6月的数据泄露事件,导致150万名患者的数据遭到破坏,而被罚款100万元之外,Learnaholic面对该委员会所开出的最高罚款金额。

委员会指出,在Learnaholic事件中,黑客能够公司移除防火墙,以便修复签到系统的问题时,入侵并窃取数据。而在修复问题后,该公司也无法修补被窃取的数据,甚至删除了系统中应有的密码保护措施。

黑客趁机掌握了一个储存Learnaholic员工工作邮件的未加密文件夹,其中包括登录详情,然后他们就用其登入有关系统

“组织未完善的安全措施,直接导致了众多个资泄露。”

“任何个别的失误都会引起人们的关注,将这些失误结合起来,为任何具备基本黑客工具的有机分子,提供了绝佳的攻击机会。”

四家公司被罚款

除了Learnaholic,数据隐私监管机构指出,另外有四家公司因未能保护好客户和员工的个资而被罚款。

旅行社The Travel Corporation因为没有委托数据保护人员,并且未能保护好储存在便携式存储设备中的客户数据,因此被罚款1万2000元。

该公司的员工放错了含有未加密文件的可移动硬盘,包括拥有其客户、员工和供应商的个资,因此导致资料泄露。

陷入营业困境的零售商Honestbee和学习软件自创公司Chizzle,也分别被罚款8000元。

个资保护委员会指出,已经拥有8000个个人数据的Honestbee,因为没有设置安全访问限制而被罚;Chizzle则是没有采取合理的安全措施,保护其手机应用程序中的用户个资而被罚款。

另外,商业服务供应商i-vic International也被罚款600元,因为没有安装安全软件,导致电子邮件泄露了个人个资。

在早前的报导中披露,我国已成为黑客的“新宠”,甚至发现有逾万张银行付款卡的详细资料被黑客盗取后,放上网销售。

为了确保商家和政府部门能够做好“自我保护”措施,监管机构的罚款金额,以及违反数据保护法令的公司和人数,都在今年刷下新纪录。

截至今年9月,当局已经“开出”了超过129万元的罚款,远远超过前三年的总金额。

You May Also Like

An Open Letter to Minister of Transport Raymond Lim

Dear Mr Raymond Lim, I would like to kindly bring your attention…

Police closes case of former NMP Calvin Cheng, calling for kids of terrorists to be killed

The Singapore Police Force (SPF) stated that it has decided not to…

A charitable cause

Fundraising for charities needs a relook, suggests Tan Kin Lian.