延伸阅读
这两起事件共有多达2万2542个电子邮件地址,以及1万2218名消费者的资料外泄。
第一起事件中,有人入侵消协的电邮账号,发送钓鱼邮件,声称消费者可以获得赔偿,并诱导他们提供银行信息。结果三名消费者上当受骗,损失超过21万元。
声明说,2022年10月和2023年6月发生数据外泄事件后,除了快速通知受影响的消费者,消协也向新加坡警察部队和个人资料保护委员会呈报。
这些钓鱼电邮并非从消协的电邮账号发出,但委员会指这些数据原本存在消协的系统中,因此可合理推断数据是从消协的系统外泄。
“我们将继续审查和改进系统和做法,防止类似事件再次发生。”
郑海鸿指出,消协致力于保护消费者数据,并按照个人资料保护委员会的指示,更新了个人数据保护政策,同时修复安全漏洞。
第二起事件中,共有1万2218名消费者的个人信息外流,包括姓名、电邮、电话及投诉详情,但没造成财物损失。
2023年6月22日,当个人资料保护委员会调查第一起事件时,再度发生类似事件,共28人收到具有针对性的钓鱼电邮。
新加坡消费者协会在两起数据外泄事件后,迅速通知受影响的消费者,并及时聘请资讯科技安全取证公司,以及采取多项加强内部政策和系统的措施,防止未经授权的访问。
个人资料保护委员会说,消协的密码管理明显不足,例如有个重要账号使用不符合标准的简单密码,且四年从未更换。至于电邮的保安措施也存在不足,导致消协无法及时发现可疑活动或未经授权的使用。
消协执行理事长郑海鸿星期五(8月30日)发声明,表示已收到和全面接受个人资料保护委员会(Personal Data Protection Commission,简称PDPC)于7月9日作出的书面裁决及2万元的罚款通知。
