本地钟表零售和分销品牌高登钟表去年遭受网络攻击,约4000人的个人资料泄露到暗网,公司如今被裁定无须罚款,但必须进行网络安全审计和纠正安全漏洞。
个人资料保护委员会(PDPC:Personal Data Protection Commission)星期四(5月23日)公布对高登钟表的裁决。委员会考虑到数据泄露的影响程度、公司及时采取行动以及在调查中给予合作,决定不对公司处以罚款。
去年6月5日,高登钟表发现服务器遭到勒索软件攻击时,便通报了个人资料保护委员会。这次网袭导致的数据泄露共影响3953人,所泄露的信息包括他们的全名和联系方式,其中八人的银行账号遭盗窃。
调查显示,高登钟表在去年4月30日至6月4日期间多次成为网袭目标;其中,一名黑客于5月27日成功盗取了公司用于测试虚拟专用网络(VPN)访问的账户,并使用勒索软件LockBit 3.0对公司服务器的其他文件加密,再上传到暗网。
黑客共盗取5.82GB数据资料 并泄露到暗网
黑客一共盗取了5.82GB的数据资料,包括公司和员工账号的用户名和密码、客户数据等。公司的手表库存、销售订单和销售策略也被泄露到暗网。
裁决书指出,高登钟表没有采取合理的网络访问管控措施,例如使用复杂的用户名或多因素身份验证(Multi Factor Authentication,简称MFA)来登录网络,也未执行强密码政策。公司承认没有执行强密码策略,唯有要求密码须至少有八个字符。
不过,为了及时挽救,高登钟表去年6月4日至9日将所有服务器下线,并实施了各种网络安全措施,包括对数据加密。
委员会强调,保护个人资料安全是公司的责任,公司也应根据处理数据的数量和敏感性等因素进行策略调整,确保实施合理的安全措施。
赞
