新加坡消费者协会因数据泄露被重罚，3万名用户受影响！

新加坡消费者协会（CASE）因违反《个人数据保护法》（PDPA）未能合理保护其持有的消费者个人数据，被个人数据保护委员会（PDPC）罚款2万新元。

事件背景及数据泄露详情

CASE在2022年10月和2023年6月发生两起数据泄露事件，共有34,760名消费者的个人数据可能遭到泄露。

第一起事件中，黑客侵入CASE的电子邮箱，发送钓鱼邮件，致使部分消费者的银行账户被非法取款，总计损失21.79万新元。

第二起事件发生在数据迁移过程中，导致12,218名消费者的个人数据被泄露。

事件详情

1. 第一起事件：2022年10月，CASE发现有黑客利用官方邮箱账号向消费者发送钓鱼邮件，假冒CASE官方要求消费者填写银行信息，以领取赔偿款。受影响的消费者邮箱达22,542个，有三名消费者因点击邮件链接导致银行账户资金损失。
2. 第二起事件：在PDPC调查第一起事件时，CASE又发现有消费者的投诉信息在钓鱼邮件中被再现。调查发现，这些数据可能在2019年12月至2020年1月的数据迁移过程中被黑客窃取。受影响的数据包括消费者的姓名、电子邮件地址、联系方式及投诉详情。

安全措施和改进

CASE在事件后采取了一系列改进措施以防止类似事件的再次发生，包括：

• 实施多重身份验证，增强密码复杂度和定期更换要求；
• 终止使用所有过时的设备，并引入补丁管理软件进行系统更新；
• 对所有外包供应商合同加入数据保护条款；
• 为所有新员工提供数据保护培训，现有员工每年接受培训；
• 准备获得“网络安全基础认证”和“数据保护信任标志”以提升其网络安全和数据保护水平。

PDPC的调查结果

PDPC发现CASE在数据管理和员工培训方面存在重大漏洞，包括密码管理政策不完善，员工安全意识培训长期缺失，以及与供应商的合同中缺乏明确的数据安全责任规定。

PDPC已责令CASE对其数据保护政策进行全面审查和更新，并填补安全漏洞。