用户申请移动服务时,通过公司网站呈交身份认证资料,信息接着存储在云端数据库内。骇客获得数据库的密钥后,侵入数据库并下载用户资料。
第二,任何人得到密钥就可登入数据库,但公司的防护系统应该有更多层认证,不能单靠密钥“通关”,例如只允许使用特定网络地址登入。
调查显示公司有两处安全措施不到位。第一,数据库的密钥没有足够保护,骇客可通过公司网页,或源代码轻易取得密钥。第二,任何人得到密钥就可登入数据库。
骇客后来发电邮威胁公司,恐吓不支付赎金就公开用户的资料。报告没有透露赎金的数额,及公司是否支付赎金,但透露公司事后监测暗网长达一个月,查看用户资料是否被公开。
触犯者包括本地服装品牌Love, Bonito、电器商音响之家(Audio House)以及Vhive家具店,各业者因为安全措施不足,导致客户资料遭外泄,被当局下令缴交罚款。
针对2021年8月29日发生的资料外泄事件,个人资料保护委员会(PDPC)专员柳俊泓发表报告,公开委员会的裁决。
委员会决定刑罚时,也考虑到公司事后采取行动弥补错误、及时通知受影响顾客,以及自愿为事故承担责任。
调查显示,公司有两处安全措施不到位。第一,数据库的密钥(access key)没有足够保护,骇客可通过公司网页,或源代码(source code)轻易取得密钥。
报告指这些资料属于敏感信息,骇客可能利用资料盗窃身份,公司有义务以更强的安全措施保护用户的资料安全。
《联合早报》2021年9月11日报道,MyRepublic数据库遭侵入,7万9388名用户资料泄露,包括身份证件、水电费账单等住家地址证件,但不包括账户和付款信息。
网络服务商MyRepublic数据库遭骇客侵入,近8万名用户资料外泄,调查显示公司的安全措施有两处漏洞,被个人资料保护委员会罚款6万元。
根据个人资料保护委员会网站,2021年12月至2022年9月间,委员会共处理19个抵触个人资料保护法令(简称PDPA)的案例。
