婚姻经历、宗教等敏感信息遭泄露
事故源于Duo“脆弱的加密体系”
婚介公司Duo信息(Duo)发生了会员信息泄露事故,据悉被泄露的信息中还包括账户余额和不动产持有情况。
26日,科学技术信息通信部向国会科学技术信息广播通信委员会委员长、共同民主党议员Choi Minhee办公室提交的侵害事故申报书显示,Duo的会员信息于去年1月28日被泄露。黑客通过远程连接到一台拥有会员数据库访问权限的电脑,窃取了约42万名会员的个人信息。Duo于去年2月3日察觉受害事实并向政府进行了申报。
此次事故导致会员的姓名、出生日期、性别、联系方式、身高、体重、血型、宗教、婚姻经历等基础信息和敏感信息全部外泄。尤其是,争议加剧的原因在于,受害范围还包括会员为认证而提交的资产证明资料和预扣税明细等内容。此外,Duo被曝出并未销毁已超过5年保存期限或已注销服务会员的个人信息,而是继续予以保存。因此,舆论认为,此次事故的敏感性和波及范围远远大于一般的个人信息泄露事件。
据Choi议员办公室介绍,Duo未遵守韩国互联网振兴院的《加密算法及密钥长度使用指南》标准。此外,据悉Duo也未采用个人信息保护委员会于2024年发布的《确保个人信息安全性措施标准指南》中所推荐的“安全加密算法”。这意味着事故是由于Duo脆弱的加密体系而引发。
Choi议员强调称:“以撮合个人交往为业务的企业违背政府指引,是一种不负责任的做法”,“对于收集敏感信息的企业,必须制定单独的安全对策”。
个人信息保护委员会就本次个人信息泄露事故,对Duo处以11.97亿韩元的罚款和1320万韩元的罚金。对此,接连有声音指出,这一处罚“措施不够充分”。
根据《个人信息保护法》规定,个人信息保护委员会在因违反该法而发生个人信息泄露事故等情形时,可以在不超过企业总销售额3%的范围内处以罚款。就Duo案例而言,由于因黑客入侵造成的违规行为发生在2025年,因此以其前3个年度(2022年至2024年)销售额的平均值(约413亿韩元)为基准计算罚款金额。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
