个人资料保护委员会副专员杨子健在星期一(4月17日)发表的裁决书中说,考虑到橙易的求情因素,包括主动承认违反个人资料保护法令的“保护义务”条文,即没采取合理的安全措施,避免个人数据被盗取,事后也配合当局调查,并迅速采取补救行动和通知受影响者。
黑客索讨10个比特币,否则公开资料。橙易即刻报警,并通知新加坡电脑紧急反应小组。
橙易的客户和员工个人资料没经过加密保护,全储存在两个过时的伺服器,这两个伺服器又与直接连接网络的另两个伺服器相连,导致资料有潜在外泄风险。
橙易产业发言人答复《联合早报》询问时说:“公司慎重看待此事,已加强网络和数据安全,并提高对未来网络袭击的防御力。我们对已加强的安全措施很有信心,将努力维护客户对我们信息技术网络的信任。”
2021年8月,称为“ALTDOS”的黑客侵入橙易产业(OrangeTee & Tie,简称橙易)的数据库,盗取包括姓名、银行户头、身份证和护照号码,以及房地产交易额和佣金额的资料,受影响的以客户居多,共24万5752人。
根据法令,可在公开领域找到的资料属于公开资料。
他也考虑到外泄资料包括姓名和房地产交易额,但这些都不属于高度敏感资料,因为向土地管理局查地契或向市区重建局查买卖禁令,就分别能看到名字和交易额。
房地产公司橙易产业因缺乏健全的网络安全程序,无法保护所拥有的个人数据,导致约26万名客户、员工和经纪的资料被盗取,日前被个人资料保护委员会罚款3万7000元。
房地产公司橙易产业的数据库于2021年8月遭黑客入侵,盗取包括姓名、银行户头、身份证和护照号码,以及房地产交易额和佣金额的资料,受影响的以客户居多,共24万5752人。
橙易:已加强网安能力
黑客没收到“赎金”,隔天发出“拒绝服务攻击”,即以极大通信量冲击橙易的网络系统,导致系统瘫痪。
2021年8月3日,ALTDOS发电邮勒索橙易,称它从2021年6月起侵入其系统,盗取“数百个数据”,一些还存有敏感资料。
杨子健说,橙易使用“实时”生产数据(包括个人数据)进行开发和测试,却没有可靠流程和妥善的安全措施,确保数据受保护。他指橙易没定期为伺服器作安保测试,若有这么做,理当能查到过时软件的疏漏。
