个人信息保护委员会24日表示,将对发生多达30万条会员个人信息泄露事件的NeoPharm处以约1亿韩元的罚款。
个人信息保护委员会前一天召开全体会议,决定因NeoPharm违反个人信息保护相关法规,处以1亿517万韩元的罚款,并加处罚金720万韩元。同时决定在个人信息保护委员会官网上公布相关内容。
调查结果显示,事先获取了NeoPharm运营的购物网站管理员账号信息的黑客,通过该账号登录网页管理员页面,窃取了全部会员共29万3723人的个人信息。从去年8月5日起两周内,该黑客约750次访问NeoPharm购物网站的网页管理员页面,查询并下载会员信息,并非法发送了约44万条短信。
NeoPharm在个人信息处理系统——网页管理员页面的运行中,未设置额外认证手段,仅凭账号和密码即可登录。此外,其未对可访问网页管理员页面的互联网协议地址(IP地址)等进行限制,也违反了安全防护义务。
NeoPharm未按个人信息经办人分别分配账号,而是以部门为单位共享账号,对访问权限的管理也不够到位。对受害用户的个人信息泄露通知亦被指存在延迟。
此外,个人信息保护委员会还对因被黑客入侵导致1万人的个人信息泄露、管理疏忽暴露无遗的Ilhak处以1800万韩元罚款,并加处罚金360万韩元。
Ilhak自去年12月17日起两天内,因黑客实施结构化查询语言注入攻击(为进行数据库查询等所使用的程序语言攻击方式),致使个人信息被窃取。相关黑客还在Ilhak购物网站的公告栏上发布了其非法获取的1万人的个人信息。
调查显示,Ilhak在经营钓鱼用品购物网站时,在网页管理员页面登录过程中未采用安全的认证手段。为阻止来自外部的非法访问而应当运行的入侵检测和拦截系统也运作不力。
![“月薪150万不如去美国年入5亿” 首尔大·KAIST人才纷纷收拾行囊 [科学家正在消失]①](https://cwcontent.asiae.co.kr/asiaresize/93/2026051914165468840_1779167814.png)
除此之外,其还被确认违反了多项安全防护义务,包括缺乏为预防结构化查询语言注入攻击而设置的用户输入值验证程序,以及未对密码进行加密等。个人信息保护委员会在作出罚款和罚金处罚决定的同时,命令相关经营者在其官网上公示上述事实。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
