360名员工信息被勒索软件盯上,只好交钱解密,新加坡寿司店罚8万

2019-08-10 13:27

据外媒8月7日报道,新加坡寿司连锁店元气寿司(Genki Sushi),近日因未能保护现任和前任员工的个人数据,违反了《个人数据保护法》》,被罚款1.6万新元(约8.2万元人民币)。

事情发生在去年9月,元气寿司公司的一台服务器被一个勒索软件攻击,造成大量的信息泄漏。

被泄露的数据包括员工姓名、身份证号码和外国身份证号码、银行账户信息、工资详情、手机号码和亲属姓名。

广告

为什么会泄露呢?

新加坡个人资料保障委员会在7月22日公布了调查结果。公告称,经调查发现,受影响的那台服务器有一款现成的工资单管理软件。员工可通过该软件查阅他们电子版的工资单,而管理人员则可以凭借软件确认员工有否出席。

这样的用途被勒索软件发现,成了他们进行“骚操作”的对象——他们对360名现任和前任员工的个人数据进行了加密,使得人们无法查阅工资,老板也无法再进行监督工作。

加密之后,元气公司不得不被心甘情愿地“勒索”,花钱请他解密。

对此,个人资料保护委员会表示,虽然没有证据表明,文件加密后存在在未经授权的情况下被盗或泄露的现象,但该勒索软件要求元气支付赎金以换取解密密钥,是无疑的。

此外,调查结果发现,有一段时间服务器没有防火墙。但即使安装了防火墙,服务器的防火墙也没有配置成“在任何重要时间,阻止任何未使用的埠或未经授权的流量”模式。

同时,元气寿司公司承认,在勒索软件攻击之前的过去12个月里,他们没有进行定期渗透测试,以评估其IT系统的整体安全性,也没有维护受影响的服务器并对软件定期打补丁。

个人资料保护委员会表示:“上述故障导致系统存在大量漏洞和漏洞,黑客很容易利用这些漏洞。对于载有敏感个人资料的服务器,该机构(元气寿司)所采取的保安措施并不充分。”

广告

基于以上等事实,个人资料保护委员会对元气寿司公司“看护”不利进行处罚,判处结果为罚款1.6万新元。

事件发生后,元气寿司公司表示,已经加强了IT安全措施。具体但措施包括更换受影响的服务器、加密其软件的数据库、聘请外部供应商监视其网络和服务器日志,以及协助更新和管理服务器的补丁。