近4萬8000名學生、家長和學校教職員的個人資料遭盜取,軟件開發公司Learnaholic因學校點名系統出現網安疏漏,導致駭客入侵,被個人資料保護委員會罰款6萬元。這是委員會自新加坡保健集團網襲事件以來,施予的最高罰金。
這起事件發生于2016年3月至4月間,遭泄露的資料包括姓名、身份證號碼、聯絡號碼、電郵和地址,其中370多人的醫療資料也遭泄露。
目前沒有證據顯示,遭盜取的資料被駭客利用或散播。
個人資料保護委員會(Personal Data Protection Commission,簡稱PDPC)昨天針對這起事件發布裁決。裁決書指出,Learnaholic是在執行與教育部簽署的合同時,爲學校提供點名系統。
裁決書中並未透露受影響的是哪所學校,或有幾所學校受影響。但據了解,受影響的學校相信超過一所。
Learnaholic是在2016年3月左右,爲檢修點名系統故障,修改了學校內聯網的防火牆設置,讓校外的電腦能在不輸入密碼的情況下,連接到學校的保安崗(Guard Post Cluster)。公司人員在檢修後,忘記馬上還原設置,直至4月左右才發現疏漏。
駭客相信是在這段期間進入系統,盜取了保安崗中公司代表的電郵登錄資料,並由此獲取儲存在郵箱中學生、家長和學校教職員的個人資料。公司事後並未發現資料外泄,直至2017年2月,警方在調查另一起駭客事故時,才意外揭露這起事件。
PDPC裁決書:公司犯下三個疏失
PDPC在裁決書中指出,Learnaholic一連犯下三個疏失,除了未還原防火牆設置,公司也不該把存有電郵登錄資料的文件儲存在保安崗。學生、家長和學校教職員的個人資料不該未經加密地儲存在電郵裏。公司並未實行足夠的保安措施,因此必須直接爲個人資料保護的違反和外泄負起責任。
裁決書中寫道:“任何一項疏失,單單一項就足以引起關注;集合在一起,這些疏失爲投機取巧、擁有基本工具的駭客,制造了絕佳的機會。”
網上資料顯示,Learnaholic成立于2007年。公司的網站已經關閉,電話號碼也已經斷線。
除了Learnaholic,還有另四家公司因未妥善保護顧客和員工的個人資料,而遭罰款。當中包括配送公司誠蜂、旅遊公司特拉維旅遊集團(The Travel Corporation),提供聯絡中心服務的i-vic國際,以及教育起步公司Chizzle。