新加坡:周五(8月30日),在被个人数据保护委员会(PDPC)罚款2万新元(15350美元)后,新加坡消费者协会(CASE)表示,它致力于保护消费者数据。
在两起涉及CASE的数据泄露事件中,超过12,000人的个人数据和超过22,000个电子邮件地址遭到泄露。
在PDPC周三公布的一项判决中,新加坡隐私监管机构表示,CASE违反了《个人数据保护法》(PDPA)规定的保护其拥有的个人数据的义务。
它也未能制定和执行为履行其在PDPA下的义务所必需的政策和做法。
新加坡消费者监管机构承认存在违规行为,并接受了2万新元的罚款,并补充称,它“致力于保护消费者数据”。
凯斯补充说,它已遵守PDPC的指示,更新其个人数据保护政策,并纠正安全漏洞。
“我们将继续审查我们的系统和做法,以防止此类事件再次发生。”
在2022年10月8日和10月9日的第一起事件中,许多CASE消费者收到了来自消费者监管机构的两个官方地址的未经请求的网络钓鱼邮件。
他们被告知,他们的投诉已升级到“收款和赔偿部门”,并有资格获得赔偿。
受影响的消费者被指示点击一个聊天图标,填写他们的银行详细信息,以完成支付过程。
这些电子邮件来自一个账户,该账户用于与在CASE网站上投诉的消费者沟通。
类似的电子邮件是通过一个用于与消费者沟通的账户发送的,这些消费者的投诉已升级为调解。
CASE通知PDPC,在2022年10月11日发生了一起涉及威胁行为者的数据泄露事件。威胁行为者是指故意对数字设备或系统造成伤害的个人或组织。
在2023年1月和2月,CASE收到了更多来自非其域名地址的网络钓鱼邮件的投诉。
PDPC表示,受影响的消费者的电子邮件“可能”是在第一次事件发生期间被威胁行为者收集的。
共有5205封网络钓鱼邮件被发送给4945个收件人,隐私监管机构指出,多达22542个地址被威胁行为者“收集”。
三名受影响的消费者告诉CASE,他们与这些网络钓鱼邮件进行了互动,据称总共造成了21.7万新元的经济损失。警方已经做了报告。
CASE聘请了私人法医专家来确定第一次事件的原因和范围,并发现威胁行为者已经使用正确的登录凭证成功登录到受影响的帐户。
它还发现,正确的登录凭证是通过对CASE员工的成功网络钓鱼攻击获得的。
此外,根据判决,CASE的一些计算机“运行的是寿命即将结束的操作系统,并且存在未应用升级或安全补丁的易受攻击的软件”,这使其面临远程代码执行漏洞的风险。
2023年6月,在对第一起事件进行调查时,PDPC收到了CASE消费者的投诉。
申诉人收到一封针对性的网络钓鱼电子邮件,该电子邮件地址并非来自CASE的域名。
CASE随后被告知更多此类事件,有28人告诉监管机构他们收到了网络钓鱼邮件。
PDPC的调查无法就第二起事件中的数据泄露是如何发生的得出“明确结论”。
然而,欧盟委员会得出的结论是,这“可能发生在”CASE在2019年12月24日至2020年1月1日期间进行的数据迁移过程中,当时该公司正在更换it供应商。
私隐专员公署指出,参与数据迁移的约12,218名人士的个人资料,有可能遭到未经授权的查阅和外泄。
这些数据包括电子邮件地址、联系电话、姓名和投诉细节。
受影响的消费者在第二次事件中没有遭受任何经济损失。
