网络服务商第三方数据库遭入侵 狮城8万用户资料外泄
据MyRepublic今早发出的文告,公司在上月29日发现第三方数据库遭未经授权的侵入。
(新加坡10日讯)网络服务商MyRepublic采用的第三方数据库遭非法入侵,近8万名新加坡移动服务用户的资料外泄,包括身分证及水电费账单等信息。公司表示目前没有证据显示资料遭滥用。
据《联合早报》,MyRepublic今早(9月10日)发文告指出,公司在上月29日发现第三方数据库遭未经授权的侵入,受影响的数据库包括客户用来申请移动服务的身分验证文件,如身分证的双面复印件、住家地址证件像是水电费账单以及客户姓名和手机号码。受影响的顾客共有7万9388人。
其他个人资料如账户和付款信息,以及公司的系统和服务操作方面则未受到影响。
文告指出,MyRepublic已通知资讯通信媒体发展局(IMDA)和个人资料保护委员会(PDPC),并且启动了公司的网络事故应对小组,由外来专家顾问与公司内部的信息技术和网络小组密切合作以解决这起事故,协助客户减轻可能面对的风险。
公司也将通过新加坡信贷中心向所有受影响的客户提供免费的信贷监控服务,若客户的信贷报告出现异常活动,他们将接到信贷中心的通知。欲索取这项服务者可联络MyRepublic。
公司总裁罗迪圭(Malcolm Rodrigues)就这次的事故道歉。他说:“虽然没有证据显示任何个人资料遭滥用,但为防万一,我们正在通知可能受影响的客户,为他们提供最新消息及所需要的帮助。我们也将审视所有的内外部系统与流程,确保类似事故不再发生。”
近8万用户资料外泄 MyRepublic被罚逾19万
(新加坡16日讯)网络服务商MyRepublic近8万名用户资料外泄,调查显示公司的安全措施有两处漏洞,被个人资料保护委员会罚款6万元(约19万3134令吉)。
针对2021年8月29日发生的资料外泄事件,个人资料保护委员会(PDPC)专员柳俊泓发表报告,公开委员会的裁决。
调查显示,公司有两处安全措施不到位。第一,数据库的密钥没有足够保护,骇客可通过公司网页,或源代码(source code)轻易取得密钥。
第二,任何人得到密钥就可登入数据库,但公司的防护系统应该有更多层认证,不能单靠密钥“通关”,例如只允许使用特定网络地址登入。
报告指这些资料属于敏感信息,骇客可能利用资料盗窃身分,公司有义务以更强的安全措施保护用户的资料安全。
委员会决定刑罚时,也考虑到公司事后采取行动弥补错误、及时通知受影响顾客,以及自愿为事故承担责任。
《联合早报》2021年9月11日报道,MyRepublic数据库遭侵入,7万9388名用户资料泄露,包括身分证件,及水电费账单等住家地址证件。
用户申请移动服务时,通过公司网站呈交身分认证资料,信息接着存储在云端数据库内。骇客获得数据库的密钥(access key)后,侵入数据库并下载用户资料。
骇客后来发电邮威胁公司,恐吓不支付赎金就公开用户的资料。报告没有透露赎金的数额,及公司是否支付赎金,但透露公司事后监测暗网长达一个月,查看用户资料是否被公开。
相关新闻
