新加坡 PDPC 對 Payroll2U 開罰 4,000 新元

新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）對軟體開發商 Payroll2U 處以 4,000 新元的罰款。

2022年12月29日，薪資外包服務和線上薪資SaaS解決方案提供商Payroll2U Pte. Ltd.遭受勒索軟體攻擊，導致5,640名員工的個人資料外洩。

調查發現，多個安全漏洞導致此次個資外洩，包括：

• 員工被授予筆記型電腦的最高管理權限。
• 未實施多因子認證（Multi-factor authentication, MFA）。
• 缺乏檢測和移除未授權軟體的工具。
• 缺乏有效的事件處理和管理控制。

最終 PDPC 認為 Payroll2U 在調查過程中十分合作，且自願承認違反保護規定，並僅是首次違反相關規定，因此僅處以 4,000 新元的罰款。