(新加坡2019年11月5日) 个人资料保护委员会(Personal Data Protection Commission;简称PDPC)宣布,共有8家企业因为违反了《个人资料保护法令》(PDPA),导致旗下客户信息曝露在风险中,而接获警告信以及遭罚款一共17.7万新元。
根据PDPC周一(11月4日)发布的文告指出,共有8家企业没有致力保护好客户的个人资料,进而导致客户私密信息处于外泄的风险中。当中包括新加坡电信有限公司(SingTel;简称新电)和物流业者能者快递( Ninja Logistics,亦称Ninja Van),两家企业各别被罚款2.5万新元和9万新元。
PDPC指出,能者快递没有做好客户信息保护措施,且是明知故犯,导致旗下高达126万名用户的个人信息被公诸于世,意即任何人只要在该公司官网输入包裹单号,便可以阅览该公司旗下用户的信息。
根据文告,从2016年至2018年,能者快递的用户只要到该公司官网,在追踪包裹状态栏目中,即便是输入其他的包裹号码,也可以调阅所有的信息,包括客户的名字、地址、客户签名和已完成的包裹递送状态。
其实,早在2016年8月,能者快递已经发生过一次同样的情况,当时该公司已经将260万旧客户的信息从公共查询系统中移除。PDPC指示能者快递必须确保已经完成的包裹单号在一定时间之后便失效,时间是越短越好,之后不会在网上被他人调阅。
PDPC是在2018年4月针对有关能者快递的投诉采取了行动。该机构指出,目前没有证据表明被曝光的个人数据被“窃取”或被恶意收集。
其实,能者快递也曾尝试引入第二层身份验证——尽管没有成功——它要求客户的姓名或手机号码,以验证输入查询包裹状态单号的人的身份。该公司在2014年12月推出上述功能后,指示持续了大约3个月,但后来就表示,上述方法行不通,例如,客户可能忘记了他们使用的用户名称等。
然而,PDPC指出,基于单凭包裹追踪单号便可以随意进入查询包裹的网页的“可预见风险”,意即“机构忽视履行切实可行的保安措施,以保障旗下客户资料,便属于不可原谅的行为”。
My Singtel手机程序存在设计漏洞
至于新电旗下My Singtel手机应用程序(APP)则出现设计上的漏洞,并且是在2017年5月PDPC收到匿名举报后被曝光。
PDPC指出,举报者访问了My Singtel的4个账号,从中成功提取了客户的姓名、账单地址、账单账号、手机号码、客户计划(包括数据、通话时间、短信使用量)等。 虽然没有进一步证据显示有未经授权的访问,但在那段时间使用该手机APP的大约33万名客户的个人信息便处于被披露的风险中。该机构认为,新电“未能采取合理的安全措施”来保护客户的个人信息。
文告指出,尽管在2015年,新电曾经发现一个类似的漏洞,并且也已经完成了纠正。然而,新电虽然曾收到针对这些漏洞所采取的预防性措施的专业建议,但该企业却没有对系统进行全面的检查,以致未能发现上述潜在的漏洞。
PDPC指出,该漏洞“是一个相对基本的设计问题和众所周知的安全风险,一个理性的人都会认为那是有必要检测和预防”的。 而且在2015年的安全测试中发现类似的漏洞后,新电就应该更努力地进行全面的检查,但是新电没有这么做。
无论如何,根据PDPC的报告,My Singtel应用程序目前已经修复,最新版本已经没有这个设计漏洞的问题。
陈笃生医院接警告信
其余被罚款的业者包括旅游业者EU Holidays(1.5万新元)、名创教育出版集团(Marshall Cavendish)(4万新元)和猎头公司SearchAsia Consulting(7000新元)。
陈笃生医院(Tan Tock Seng Hospital)和志愿福利团体CampVision则接获PDPC的警告信。在线营销技术平台爱点击(iClick Media)则因为违反了问责制度条例,被指示必须根据PDPC条例建立起客户信息保护准则,并为旗下雇员设计及提供相应的培训课程。
根据PDPC的文告, 陈笃生医院因为未有作出合理的保安措施安排,以预防病患的个人资料不会在未经许可的情况下被泄露,而接获警告。在这之前,共有85封通知旗下病患重新安排预约的信件被送到了错误的地址。