據外媒8月7日報道,新加坡壽司連鎖店元氣壽司(Genki Sushi),近日因未能保護現任和前任員工的個人數據,違反了《個人數據保護法》》,被罰款1.6萬新元(約8.2萬元人民幣)。
事情發生在去年9月,元氣壽司公司的一台伺服器被一個勒索軟體攻擊,造成大量的信息泄漏。
被泄露的數據包括員工姓名、身份證號碼和外國身份證號碼、銀行帳戶信息、工資詳情、手機號碼和親屬姓名。
為什麼會泄露呢?
新加坡個人資料保障委員會在7月22日公布了調查結果。公告稱,經調查發現,受影響的那台伺服器有一款現成的工資單管理軟體。員工可通過該軟體查閱他們電子版的工資單,而管理人員則可以憑藉軟體確認員工有否出席。
這樣的用途被勒索軟體發現,成了他們進行「騷操作」的對象——他們對360名現任和前任員工的個人數據進行了加密,使得人們無法查閱工資,老闆也無法再進行監督工作。
加密之後,元氣公司不得不被心甘情願地「勒索」,花錢請他解密。
對此,個人資料保護委員會表示,雖然沒有證據表明,文件加密後存在在未經授權的情況下被盜或泄露的現象,但該勒索軟體要求元氣支付贖金以換取解密密鑰,是無疑的。
此外,調查結果發現,有一段時間伺服器沒有防火牆。但即使安裝了防火牆,伺服器的防火牆也沒有配置成「在任何重要時間,阻止任何未使用的埠或未經授權的流量」模式。
同時,元氣壽司公司承認,在勒索軟體攻擊之前的過去12個月里,他們沒有進行定期滲透測試,以評估其IT系統的整體安全性,也沒有維護受影響的伺服器並對軟體定期打補丁。
個人資料保護委員會表示:「上述故障導致系統存在大量漏洞和漏洞,黑客很容易利用這些漏洞。對於載有敏感個人資料的伺服器,該機構(元氣壽司)所採取的保安措施並不充分。」
基於以上等事實,個人資料保護委員會對元氣壽司公司「看護」不利進行處罰,判處結果為罰款1.6萬新元。
事件發生後,元氣壽司公司表示,已經加強了IT安全措施。具體但措施包括更換受影響的伺服器、加密其軟體的資料庫、聘請外部供應商監視其網絡和伺服器日誌,以及協助更新和管理伺服器的補丁。
