共处以4.446亿韩元罚款和罚金
“警惕利用 SSL-VPN 设备漏洞的攻击”
个人信息保护委员会24日表示,在第16次全体会议上,因违反个人信息保护相关法规,已对Haesung DS和全南科技园共处以4.446亿韩元的罚款和罚金。
Haesung DS被处以3.43亿韩元的罚款。原因是身份不明的黑客在2023年10月利用Haesung DS的SSL‑VP设备漏洞登录虚拟专用网络(VPN),进而访问公司内部网络,将内部文件服务器中保存的7万3975人的个人信息对外泄露。其中包括股东及公司员工信息、合作公司员工信息。黑客还在内部文件服务器等处散布勒索软件文件并造成感染。
调查发现,早在2023年6月,尽管制造商和韩国互联网振兴院等机构已发布公告,提示需要对SSL‑VPN设备进行安全更新,但Haesung DS在遭遇黑客攻击时仍未采取相关措施。在黑客实施信息外泄的过程中,Haesung DS部分系统的杀毒软件未能正常运行,在恶意程序防范和查杀功能的运营方面也存在疏忽。
为支持中小和中型企业,由政府、地方自治团体及民间共同出资设立的非营利法人全南科技园,则被处以9800万韩元罚款和360万韩元罚金。2023年11月,黑客未经授权访问了全南科技园运营的主页(全南科学技术信息系统)内的个人信息处理系统,删除了全部数据库(DB),并留下索要金钱的勒索信(威胁信息)。当时处理系统中保存着1200余人的个人信息(姓名、手机号码、电子邮箱地址、所属机构信息等)。
个人信息保护委员会调查结果显示,全南科技园在处理系统操作人员账号上使用了极易被推测的账号和密码;用户密码也采用不安全的MD5方式加密保存,且登录时传输的密码并未加密。此外,其未通过限制IP地址等方式控制对处理系统的访问权限,也未对非法访问和个人信息泄露企图进行监测与阻断,亦未对访问记录进行保存和管理。
另外,全南科技园在2023年11月23日发现被黑后,却在没有正当理由的情况下,超过72小时才报告个人信息泄露事实;在主页上公布相关情况的时间则是约一周后的12月1日。
个人信息保护委员会相关负责人表示:“近期以制造业等领域为中心,勒索软件感染和个人信息泄露事件正在增加。处理个人信息的经营者应对运营中的服务开展漏洞排查和安全更新,并将个人信息数据库等重要文件单独备份和保存,务必提高警惕。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
