示意圖。(圖: iStock)
吉寶訊通(Keppel Telecommunications & Transportation)和新加坡醫學專科學院(Academy of Medicine Singapore)因為未採取妥善的安全措施,導致個人數據外泄,分別被個人資料保護委員會罰款12萬元和9000元。
委員會這個月初在網上宣布對這兩起個人數據外泄事件的裁決。
其中,吉寶訊通是在2022年10月向委員會通報伺服器遭非法入侵,其中一個伺服器存儲了員工和前員工、以及董事和股東的個人數據。
受影響的伺服器屬於吉寶訊通在同年7月脫售的子公司。在脫售前,吉寶訊通和子公司共用伺服器。
委員會的調查顯示,黑客是在同年9月通過子公司的供應商帳號入侵伺服器。而委員會發現吉寶訊通在2020年把伺服器上的數據遷移到雲端存儲系統後、以及在脫售子公司前,都沒有把伺服器上的個人數據刪除。大約2萬2659人的個人數據因伺服器遭入侵而存在外泄的風險。
新加坡專科醫學院則是因為伺服器在去年7月遭勒索軟體攻擊,導致6500多人的個人資料外泄,甚至放到暗網上,而被委員會處以罰款。
