一家和本地学校合作的软件开发公司,因未能于2016年时期,在黑客入侵时保护将近4万8000名学生、家长和学校职员的个人资料,被罚款六万元。
有关的软件公司负责提供校方有关签到系统(attendance-taking technology),但是该系统在创建中出现漏洞,致使黑客能从中进行网络攻击并窃取数据。
根据新加坡个人资料保护委员会(PDPC)于周四(5日)发文告指出,由Learnaholic软件公司所造成的漏洞,是能够避免的,而遭殃的学校并没有公布。
该校大约4万7800人的姓名、身份证号码、地址和联络号码被黑客窃取,PDPC也补充,有约370名学生的医疗信息被盗。
根据《海峡时报》调查显示,目前Learnaholic已关闭网站,而所列出的电话号码也已无法拨通。
人为疏忽让黑客轻易入侵
除了今年1月,新加坡保健服务集团(SingHealth)和综合保健信息系统公司(Integrated Health Information Systems,IHis)因去年6月的数据泄露事件,导致150万名患者的数据遭到破坏,而被罚款100万元之外,Learnaholic面对该委员会所开出的最高罚款金额。
委员会指出,在Learnaholic事件中,黑客能够公司移除防火墙,以便修复签到系统的问题时,入侵并窃取数据。而在修复问题后,该公司也无法修补被窃取的数据,甚至删除了系统中应有的密码保护措施。
黑客趁机掌握了一个储存Learnaholic员工工作邮件的未加密文件夹,其中包括登录详情,然后他们就用其登入有关系统
“组织未完善的安全措施,直接导致了众多个资泄露。”
“任何个别的失误都会引起人们的关注,将这些失误结合起来,为任何具备基本黑客工具的有机分子,提供了绝佳的攻击机会。”
四家公司被罚款
除了Learnaholic,数据隐私监管机构指出,另外有四家公司因未能保护好客户和员工的个资而被罚款。
旅行社The Travel Corporation因为没有委托数据保护人员,并且未能保护好储存在便携式存储设备中的客户数据,因此被罚款1万2000元。
该公司的员工放错了含有未加密文件的可移动硬盘,包括拥有其客户、员工和供应商的个资,因此导致资料泄露。
陷入营业困境的零售商Honestbee和学习软件自创公司Chizzle,也分别被罚款8000元。
个资保护委员会指出,已经拥有8000个个人数据的Honestbee,因为没有设置安全访问限制而被罚;Chizzle则是没有采取合理的安全措施,保护其手机应用程序中的用户个资而被罚款。
另外,商业服务供应商i-vic International也被罚款600元,因为没有安装安全软件,导致电子邮件泄露了个人个资。
在早前的报导中披露,我国已成为黑客的“新宠”,甚至发现有逾万张银行付款卡的详细资料被黑客盗取后,放上网销售。
为了确保商家和政府部门能够做好“自我保护”措施,监管机构的罚款金额,以及违反数据保护法令的公司和人数,都在今年刷下新纪录。
截至今年9月,当局已经“开出”了超过129万元的罚款,远远超过前三年的总金额。
