房地产公司橙易产业(OrangeTee & Tie)因缺乏健全的网络安全程序,无法保护所拥有的个人数据,导致约26万名客户、员工和经纪的资料被盗取,日前被个人资料保护委员会罚款3万7000元。
2021年8月,称为“ALTDOS”的黑客侵入橙易产业(简称橙易)的数据库,盗取包括姓名、银行户头、身份证和护照号码,以及房地产交易额和佣金额的资料,受影响的以客户居多。
个人资料保护委员会副专员杨子健星期一(4月17日)发表裁决书时,表示考虑到橙易的求情因素,包括主动承认违反个人资料保护法令的“保护义务”条文,也就是没采取合理的安全措施以防止所拥有的个人数据被盗取,并且事后配合当局调查,也迅速采取补救行动和通知受影响者。
他指出,委员会也考虑到外泄资料包括姓名和房地产交易额,但这些不属于高度敏感资料。
根据法令,这些可在公开领域找到的资料属于公开资料。比如,从新加坡土地管理局查询地契,就能看到相关名字,或到市区重建局查看买卖禁令(caveat),也能看到交易额。
2021年8月3日,ALTDOS发“勒索”电邮给橙易,称从2021年6月起已侵入其系统,盗取了“数百个数据”,一些还存有敏感资料,电邮也附上显示五个盗取的数据库视频。
黑客索讨10个比特币,否则将把资料公开。橙易即刻报警和通知新加坡网络安全局属下的新加坡电脑紧急反应小组。
由于没收到“赎金”,黑客隔天发出拒绝服务攻击(denial-of-service attack),即以极大的通信量冲击目标网络,使橙易的系统瘫痪。
赞
