消协坦承,自2017年以后,就没有再为员工进行过安全意识培训,也未制定任何信息和通信技术政策,仅依赖电脑部门的员工在必要时进行维护和更新。
个人资料保护委员会在判决书中指出,由于这些数据原本都保存在消协的系统中,因此合理推断,这些数据都是从消协的系统外泄的。
个人资料保护委员会说,消协的密码管理明显不足,例如有个重要账号使用不符合标准的简单密码,且四年从未更换。至于电邮的保安措施也存在不足,导致消协无法及时发现可疑活动或未经授权的使用。
消协所涉及的两起数据外泄事件,分别发生在2022年10月和2023年6月。两起事件中,共有多达2万2542个电子邮件地址,以及1万2218名消费者的资料外泄。
2023年6月22日,当个人资料保护委员会正在调查第一起事件时,又再次发生类似事件,共有28人收到具有针对性的钓鱼电邮。不过,这些钓鱼电邮并非从消协的电邮账号发出。
第二起事件中,共有1万2218名消费者的个人信息外流。这些信息包括姓名、电邮地址和联系电话,以及他们的投诉详情。不过,没有人损失财物。
消协密码管理和电邮保安措施有不足
延伸阅读
第一起事件中,有人入侵消协的电邮账号,发送钓鱼邮件,声称消费者可以获得赔偿,并诱导他们提供银行信息。结果三名消费者上当受骗,损失超过21万元。消协过后向警方报案。
根据个人资料保护委员会(Personal Data Protection Commission,简称PDPC)星期三(8月28日)在官网公布的判决书,消协因未制定合理且妥善的安排,保护消协所拥有的个人资料而被罚款。消协也没有制定和实行必要措施,履行个人资料保护法令所明定的义务。
未采取妥善措施保护个人信息,新加坡消费者协会因违反个人资料保护法令,被罚款2万元。
个人资料保护委员会已要求消协检讨和更新有关个人资料保护的政策,并修补安全漏洞。
