系统内的文件被勒索软件加密(encrypted),包括储存在学习平台管理系统内的个人资料,直到接收付款后才得以解密。
个人资料保护委员会副专员杨子健在判词中指出,基于名创教育已采取补救措施,当局因此无需对该公司采取进一步行动。
根据判词,2017年2月1日,勒索软件影响了名创教育的网络系统,而公司则在两天后通知教育部与其他相关部门,这包括了个人资料保护委员会(Personal Data Protection Commission,简称PDPC)。
调查显示,事件的发生,是因技术人员为了要让系统能自动更新防毒软件,改了防火墙设定,让系统能直接连接互联网。这原本是暂时性的设定更改,但技术人员却忘了换回,导致勒索软件入侵。
名创教育求情时指出五点:没有证据证明个人资料外漏;没有第三方或入侵者取得任何人的个人资料,也没有人因这件事受到影响;名创教育也立即采取行动减低事件造成的损害;名创教育从未违反个人资料保护法令;名创教育并非刻意或是任意导致事件发生。
经过调查,此事并没有造成任何的个人资料外泄,而名创教育已采取补救措施。
委员会借此呼吁所有机构组织遵守个人资料保护令,若发现任何机构组织违反个人资料保护令,将采取适当的执法行动。
教育部最大的网上学习服务供应商名创教育(Marshall Cavendish Education),系统遭勒索软件入侵,影响11个网站伺服器,被罚款4万元。
