信息系统委托与受托关联公司发生黑客事故
客户姓名、电话号码、电子邮箱等约2.8万条信息泄露
被处以5.425亿韩元罚款及1140万韩元罚金
因发生包括订阅者姓名、电话号码、电子邮箱等泄露事故,Boram Sangjo 系列公司共被处以约5.5亿韩元的罚款及罚金。
个人信息保护委员会14日表示,前一天召开第9次全体会议,决定对违反《个人信息保护法》的 Boram Sangjo Development 等 Boram集团旗下7家关联企业处以共计5.425亿韩元的罚款以及1140万韩元的罚金,并作出整改及公示命令。
被处以罚款及罚金的 Boram集团关联公司包括 Boram Sangjo Development、Boram Sangjo Leaders、Boram Sangjo Life、Boram Sangjo People、Boram Sangjo Anycall、Boram Sangjo Siloam、Boram Sangjo Plus 等。个人信息保护委员会因 Boram Sangjo Development 违反安全措施义务等,向其处以5.31亿韩元罚款,并因延迟通报泄露及未销毁个人信息处以1140万韩元罚金。对其关联公司则以未尽对受托方管理、监督责任为由,共计处以1150万韩元罚款,并命令其在官网公示相关处分内容。同时,还下达了整改命令,内容包括在集团层面全面检查和整顿个人信息处理现状,完善决策体系、确保委托与受托关系的透明性等。
个人信息保护委员会于2024年5月28日接到来自 Boram Sangjo Development 的个人信息泄露申报后,启动调查。随后确认其存在违反安全措施义务及对应受托方管理监督疏忽等违法事实。
Boram Sangjo Development 受托负责集团内包括 Boram Sangjo Leader 在内的6家关联公司的线上客户咨询等客户关系管理(CRM)业务,一直运营着管理通过官网收集的个人信息的数据库(DB)。根据个人信息保护委员会的调查,Boram Sangjo Development 对个人信息管理系统的安全性措施疏于管理。作为委托方的6家关联公司,作为将个人信息处理业务委托出去的一方,本应对 Boram Sangjo Development 是否安全管理信息进行监督,但并未充分履行该职责。
黑客利用官网漏洞实施结构化查询语言(SQL)注入攻击,侵入 Boram Sangjo Development 的数据库,窃取了客户姓名、手机号码、电子邮箱等个人信息。SQL注入攻击是一种利用网页应用程序安全漏洞,输入结构化查询语言语句以操纵数据库或窃取信息的黑客手法。结构化查询语言用于查询数据库内容。
泄露的个人信息总数高达2万7882条。包括官网注册会员976人和旧(退役军人)官网会员1万2950人的账号、密码、姓名、手机号、出生日期、性别、电子邮箱等信息被泄露,在线咨询会员1万3927人的姓名、手机号、电子邮箱等信息也外泄。
还确认到,Boram Sangjo Development 在察觉泄露事实后,超过法定期限才向信息主体进行通报,并且在个人信息保留期限届满后仍继续保存、未予销毁。
个人信息保护委员会相关负责人表示:“此次处分的意义在于,警示在涉及多家关联公司等众多企业的复杂个人信息处理环境中,如果个人信息处理运作不透明,就可能出现安全死角。”他强调称:“通过委托与受托关系对个人信息进行集中处理时,确保处理体系的透明性至关重要,同时也明确了委托方有责任对受托方的个人信息处理现状及保护措施进行管理和监督。”
另一方面,个人信息保护委员会自今年1月起,正在对殡葬预付费服务等上调领域整体开展个人信息处理实态检查,并推进改善相关惯例的事前实态排查工作。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
