教育部最大的網上學習服務供應商名創教育(Marshall Cavendish Education),系統遭勒索軟件入侵,影響11個網站伺服器,被罰款4萬元。
經過調查,此事並沒有造成任何的個人資料外泄,而名創教育已采取補救措施。
根據判詞,2017年2月1日,勒索軟件影響了名創教育的網絡系統,而公司則在兩天後通知教育部與其他相關部門,這包括了個人資料保護委員會(Personal Data Protection Commission,簡稱PDPC)。
系統內的文件被勒索軟件加密(encrypted),包括儲存在學習平台管理系統內的個人資料,直到接收付款後才得以解密。
調查顯示,事件的發生,是因技術人員爲了要讓系統能自動更新防毒軟件,改了防火牆設定,讓系統能直接連接互聯網。這原本是暫時性的設定更改,但技術人員卻忘了換回,導致勒索軟件入侵。
名創教育求情時指出五點:沒有證據證明個人資料外漏;沒有第三方或入侵者取得任何人的個人資料,也沒有人因這件事受到影響;名創教育也立即采取行動減低事件造成的損害;名創教育從未違反個人資料保護法令;名創教育並非刻意或是任意導致事件發生。
個人資料保護委員會副專員楊子健在判詞中指出,基于名創教育已采取補救措施,當局因此無需對該公司采取進一步行動。
委員會借此呼籲所有機構組織遵守個人資料保護令,若發現任何機構組織違反個人資料保護令,將采取適當的執法行動。