คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสิงคโปร์ (Personal Data Protection Commission - PDPC) สั่งปรับบริษัท PPLingo Pte ผู้ให้บริการแพลตฟอร์มเรียนรู้ออนไลน์ LingoAce หลังเกิดเหตุข้อมูลหลุดกระทบนักเรียนและผู้ปกครองกว่า 550,000 คน เนื่องจากผู้ดูแลระบบตั้งรหัสเป็น "lingoace123" ซึ่งเป็นบริการตามด้วยเลข 123
ระบบที่ถูกแฮกคือเซิร์ฟเวอร์ operations support system (OPS) ที่ใช้สำหรับจัดการชั้นเรียน และตารางเรียนต่างๆ โดยเซิร์ฟเวอร์ติดตั้งตั้งแต่ปี 2020 และไม่เคยเปลี่ยนรหัสเลย ในวันที่ 26 เมษายน 2022 แฮกเกอร์ก็พยายามยิงรหัสผ่านบัญชีแอดมิน และภายในวันเดียวรหัสผ่านก็หลุด
ทางบริษัทรู้ตัวว่าถูกแฮกเพราะแฮกเกอร์แฮกอีเมลของพนักงานอีกคนหนึ่งเพื่อแจ้งว่าเข้าถึงข้อมูลอะไรได้บ้าง แต่ไม่ได้เรียกร้องอะไรเพิ่มเติม
เหตุการณ์แบบนี้เคยเกิดขึ้นแล้วครั้งหนึ่งในสิงคโปร์เมื่อ PDPC พิจารณาเหตุการณ์ Re Chizzle Pte Ltd ถูกแฮกเมื่อปี 2020 และตั้งรหัสผ่านว่า "Chi!zzle@2018" โดยทาง PDPC เตือนว่าการใช้ชื่อบริษัทเป็นการตั้งรหัสผ่านที่ไม่ปลอดภัย
ทางบริษัทยอมรับว่ามาตรการหละหลวมจริงและได้เพิ่มมาตรการป้องกันเช่นเปิดการล็อกอินสองชั้นทั้งบนระบบ OPS และอีเมลแล้ว และขอให้ PDPC อย่าตั้งค่าปรับเกิน 35,000 ดอลลาร์สิงคโปร์ อย่างไรก็ดีทาง PDPC ยืนยันว่าความเสียหายร้ายแรงให้ปรับ 74,000 ดอลลาร์สิงคโปร์ หรือกว่า 2 ล้านบาท
ที่มา - PDPC
Comments
อ่านแล้วกำกวม ตอนแรกตีความได้ว่าใช้รหัสแอดมินมาตั้งชื่อบริการ แนะนำเปลี่ยนเป็น
ดีนะ เข้มดี