(早报讯)网络服务商MyRepublic近八万名用户资料外泄,调查显示公司的安全措施有两处漏洞,被个人资料保护委员会罚款六万元。
针对2021年8月29日发生的资料外泄事件,个人资料保护委员会(PDPC)专员柳俊泓发表报告,公开委员会的裁决。
调查显示,公司有两处安全措施不到位。第一,数据库的密钥没有足够保护,骇客可通过公司网页,或源代码(source code)轻易取得密钥。
第二,任何人得到密钥就可登入数据库,但公司的防护系统应该有更多层认证,不能单靠密钥“通关”,例如只允许使用特定网络地址登入。
报告指这些资料属于敏感信息,骇客可能利用资料盗窃身份,公司有义务以更强的安全措施保护用户的资料安全。
委员会决定刑罚时,也考虑到公司事后采取行动弥补错误、及时通知受影响顾客,以及自愿为事故承担责任。
《联合早报》2021年9月11日报道,MyRepublic数据库遭侵入,7万9388名用户资料泄露,包括身份证件,及水电费账单等住家地址证件。
用户申请移动服务时,通过公司网站呈交身份认证资料,信息接着存储在云端数据库内。骇客获得数据库的密钥(access key)后,侵入数据库并下载用户资料。
骇客后来发电邮威胁公司,恐吓不支付赎金就公开用户的资料。报告没有透露赎金的数额,及公司是否支付赎金,但透露公司事后监测暗网长达一个月,查看用户资料是否被公开。
