新加坡消費者協會因個資外洩事件被罰款並被要求加強個資保護措施

新加坡消費者協會（Consumers’ Association of Singapore, CASE）因兩起個資外洩事件導致超過12,000人的個人資料和22,000個電子郵件地址可能遭到外洩，受到新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）罰款2萬新元。

第一次外洩事件發生於2022年10月，CASE的消費者收到來自其官方郵件地址的釣魚郵件，誘導受害者提供銀行資料。PDPC指出這些郵件來自惡意攻擊者，他們通過CASE員工的釣魚攻擊成功取得正確的登入憑證。約有5,205封釣魚郵件發送給4,945名消費者，導致三名受害者總計蒙受21.7萬新元的損失。

第二次外洩事件則發生於2023年，可能與CASE於2019至2020年期間的資料搬遷有關，影響了超過12,000人的個人資料，包括電郵地址、聯繫方式和投訴詳情。

為防止類似事件再次發生，CASE採取了以下措施：

1. 推行多重身份驗證。
2. 安裝惡意軟體和釣魚郵件防護措施。
3. 審查並加強了對系統功能的存取許可權。
4. 確保所有員工接受資料保護教育訓練，並進行年度復訓。
5. 更新所有操作設備，並安裝漏洞修補軟體，確保安全更新可以遠程推送。
6. 所有外包供應商的合約中將包含個資保護條款，確保供應商遵守《個人資料保護法》（PDPA）及CASE的標準操作程序。
7. 淘汰所有使用壽命到期的設備，並進行滲透測試以識別網路安全漏洞。
8. 將申請網路安全認證（Cyber Essentials Mark）和資料保護信任標誌（Data Protection Trust Mark），以展示其在個資保護上的責任感和合規性。

新聞來源：CASE 'committed' to safeguarding consumers' data, after S$20,000 fine over breaches (channelnewsasia.com)