韩国个人信息保护委员会8日表示,在第6次全体会议上决定,对英国拍卖行Christie’s(Christie, Manson & Woods, Ltd.)处以2.8亿韩元罚款和720万韩元罚金,并责令其在官网公示处罚结果,原因是其违反个人信息保护相关法规。
据通报,Christie’s客服工单团队员工遭遇黑客语音钓鱼,致使黑客获取个人信息处理系统访问权限,最终导致620名韩国会员的个人信息泄露。
调查显示,Christie’s在接到重置个人信息处理系统访问密码的请求时,未采用短信、邮件等独立认证方式,仅凭入职日期、所属部门等简单信息进行核验后便重置密码。
而在此次黑客入侵过程中,Christie’s甚至未按上述核验流程操作,直接重置密码,并将用于登录验证的手机号更改为黑客号码。
韩国个人信息保护委员会还指出,Christie’s在未加密的情况下保存客户的居民登记号码、驾照号码和护照号码等敏感信息,未履行安全保护义务。与此同时,Christie’s在缺乏法定处理依据的情况下,以身份核验为由收集并保存韩国会员的居民登记号码。
此外,Christie’s在发现信息泄露后,也未在法定时限内完成申报和通知,在无正当理由的情况下超过72小时才上报相关情况。
韩国个人信息保护委员会表示,此次处罚除罚款和罚金外,还要求Christie’s公开披露受罚事实。该机构同时强调,个人信息处理者应妥善部署并管理认证机制,防止无合法访问权限者轻易获取或窃取认证信息。
记者信息
Chi-gyu Hwang (황치규)
delight@d-today.co.kr