# 360名員工信息被勒索軟體盯上，只好交錢解密，新加坡壽司店罰8萬

URL: https://www.shicheng.news/zh-hant/v/3b0px
Published: 2019-08-09
Source: 獅城新聞

據外媒8月7日報道，新加坡壽司連鎖店元氣壽司（Genki Sushi)，近日因未能保護現任和前任員工的個人數據，違反了《個人數據保護法》》，被罰款1.6萬新元（約8.2萬元人民幣）。

事情發生在去年9月，元氣壽司公司的一台伺服器被一個勒索軟體攻擊，造成大量的信息泄漏。

被泄露的數據包括員工姓名、身份證號碼和外國身份證號碼、銀行帳戶信息、工資詳情、手機號碼和親屬姓名。

![360名員工信息被勒索軟體盯上，只好交錢解密，新加坡壽司店罰8萬](https://www.shicheng.news/images/image/1572/15724363.avif?1585053138)





為什麼會泄露呢？

新加坡個人資料保障委員會在7月22日公布了調查結果。公告稱，經調查發現，受影響的那台伺服器有一款現成的工資單管理軟體。員工可通過該軟體查閱他們電子版的工資單，而管理人員則可以憑藉軟體確認員工有否出席。

這樣的用途被勒索軟體發現，成了他們進行「騷操作」的對象——他們對360名現任和前任員工的個人數據進行了加密，使得人們無法查閱工資，老闆也無法再進行監督工作。

加密之後，元氣公司不得不被心甘情願地「勒索」，花錢請他解密。

對此，個人資料保護委員會表示，雖然沒有證據表明，文件加密後存在在未經授權的情況下被盜或泄露的現象，但該勒索軟體要求元氣支付贖金以換取解密密鑰，是無疑的。

此外，調查結果發現，有一段時間伺服器沒有防火牆。但即使安裝了防火牆，伺服器的防火牆也沒有配置成「在任何重要時間，阻止任何未使用的埠或未經授權的流量」模式。

同時，元氣壽司公司承認，在勒索軟體攻擊之前的過去12個月里，他們沒有進行定期滲透測試，以評估其IT系統的整體安全性，也沒有維護受影響的伺服器並對軟體定期打補丁。

個人資料保護委員會表示:「上述故障導致系統存在大量漏洞和漏洞，黑客很容易利用這些漏洞。對於載有敏感個人資料的伺服器，該機構（元氣壽司）所採取的保安措施並不充分。」

基於以上等事實，個人資料保護委員會對元氣壽司公司「看護」不利進行處罰，判處結果為罰款1.6萬新元。

事件發生後，元氣壽司公司表示，已經加強了IT安全措施。具體但措施包括更換受影響的伺服器、加密其軟體的資料庫、聘請外部供應商監視其網絡和伺服器日誌，以及協助更新和管理伺服器的補丁。