# 360名员工信息被勒索软件盯上，只好交钱解密，新加坡寿司店罚8万

URL: https://www.shicheng.news/v/3b0px
Published: 2019-08-09
Source: 狮城新闻

据外媒8月7日报道，新加坡寿司连锁店元气寿司（Genki Sushi)，近日因未能保护现任和前任员工的个人数据，违反了《个人数据保护法》》，被罚款1.6万新元（约8.2万元人民币）。

事情发生在去年9月，元气寿司公司的一台服务器被一个勒索软件攻击，造成大量的信息泄漏。

被泄露的数据包括员工姓名、身份证号码和外国身份证号码、银行账户信息、工资详情、手机号码和亲属姓名。

![360名员工信息被勒索软件盯上，只好交钱解密，新加坡寿司店罚8万](https://www.shicheng.news/images/image/1572/15724363.avif?1585053138)





为什么会泄露呢？

新加坡个人资料保障委员会在7月22日公布了调查结果。公告称，经调查发现，受影响的那台服务器有一款现成的工资单管理软件。员工可通过该软件查阅他们电子版的工资单，而管理人员则可以凭借软件确认员工有否出席。

这样的用途被勒索软件发现，成了他们进行“骚操作”的对象——他们对360名现任和前任员工的个人数据进行了加密，使得人们无法查阅工资，老板也无法再进行监督工作。

加密之后，元气公司不得不被心甘情愿地“勒索”，花钱请他解密。

对此，个人资料保护委员会表示，虽然没有证据表明，文件加密后存在在未经授权的情况下被盗或泄露的现象，但该勒索软件要求元气支付赎金以换取解密密钥，是无疑的。

此外，调查结果发现，有一段时间服务器没有防火墙。但即使安装了防火墙，服务器的防火墙也没有配置成“在任何重要时间，阻止任何未使用的埠或未经授权的流量”模式。

同时，元气寿司公司承认，在勒索软件攻击之前的过去12个月里，他们没有进行定期渗透测试，以评估其IT系统的整体安全性，也没有维护受影响的服务器并对软件定期打补丁。

个人资料保护委员会表示:“上述故障导致系统存在大量漏洞和漏洞，黑客很容易利用这些漏洞。对于载有敏感个人资料的服务器，该机构（元气寿司）所采取的保安措施并不充分。”

基于以上等事实，个人资料保护委员会对元气寿司公司“看护”不利进行处罚，判处结果为罚款1.6万新元。

事件发生后，元气寿司公司表示，已经加强了IT安全措施。具体但措施包括更换受影响的服务器、加密其软件的数据库、聘请外部供应商监视其网络和服务器日志，以及协助更新和管理服务器的补丁。