CINGAPURA – O fornecedor da TI Ezynetic foi multado em US $ 17.500 por não proteger os dados de seus clientes, o que resultou em mais de 190.000 dados pessoais de indivíduos sendo roubados e colocados à venda na Web Dark.
A Ezynetic não conseguiu estabelecer acordos de segurança razoáveis para proteger os dados pessoais em sua posse ou sob seu controle, a Comissão de Proteção de Dados Pessoal (PDPC) disse em 3 de julho ausente Declaração em seu site.
No momento da violação, que Ezytice descobriu 24 de junho de 2024a empresa estava operando um sistema de TI ligado ao Departamento de Crédito para Lenders de Moneys plataforma operada por Credit Bureau Cingapura.
Clientes afetados da Enzynetic –
identificado anteriormente
À medida que os agiotas proibem o crédito king, o crédito 21, empréstimos, crédito Katong, crédito trinta 3, crédito GS, 1AP Capital, Creditmaster, BST Credit, U Credit, Horison Credit and Credit Matters – inseriria dados pessoais de seus possíveis solicitantes de empréstimos e mutuários no sistema de empréstimos monetários.
Isso permitiria que eles verificassem a elegibilidade de empréstimos dos candidatos e mutuários, gerasse relatórios de crédito da MLCB e relatórios de lucro e perdas, além de rastrear empréstimos, parcelas, coleções e pagamentos.
Em um julgamento, o PDPC disse que as investigações descobriram que um ator de ameaças havia explorado um aplicativo de serviço da Web vulnerável para obter acesso e controle da conta de administrador do sistema da Ezynetic para acessar o sistema de empréstimos financeiros. Depois de obter acesso ao sistema de empréstimos financeiros, o ator de ameaças obteve os dados pessoais dos indivíduos afetados.
Os dados roubados incluíram uma combinação do nome, endereço, endereço de e-mail, número de telefone, número NRIC, data de nascimento e informações financeiras disponíveis nos relatórios de crédito da MLCB de 190.589 indivíduos. Esses indivíduos foram notificados do incidente em 1º de julho de 2024.
PDPC, que foi informado do incidente em 26 de junho de 2024disse que suas investigações revelaram que a Ezynetic não desativou ou protege adequadamente a conta do administrador do sistema, que é frequentemente direcionada por usuários maliciosos.
A senha da conta no momento do incidente, que era p@ssword1 ou senha@1, foi suscetível a ataques de força bruta, onde Os hackers tentam repetidamente obter acesso aos sistemas tentando senhas diferentes.
A Ezynetic também não realizou nenhuma avaliação periódica de vulnerabilidade ou teste de penetração de sua infraestrutura, disse a Comissão.
Após o incidente, a Ezytic rejeitou toda a sua rede e migrou para um ambiente em nuvem para seus servidores, e implementou medidas de segurança aprimoradas para a nova rede após consultas com o Segurança cibernética Agência de Cingapura e o Ministério da Direito.
De acordo com a Lei de Proteção de Dados Pessoais (PDPA), que a Ezinética violou, as organizações devem proteger dados pessoais em sua posse ou sob seu controle, fazendo acordos de segurança razoáveis para impedir o acesso não autorizado, coleta, uso, divulgação, cópia, modificação ou descarte ou riscos semelhantes.
Sua falha na realização de uma revisão de segurança periódica razoável também chegou a uma violação do PDPA; De acordo com as listas de verificação do PDPC para se proteger contra tipos comuns de violações de dados, as organizações devem, como uma prática básica, conduzir periodicamente a varredura e as avaliações de vulnerabilidade de aplicativos da Web.
O PDPC disse que uma multa era apropriada, pois a Ezynetic era um fornecedor de software como serviço, que deve possuir a experiência técnica necessária para implementar medidas razoáveis de segurança cibernética para lidar com as ameaças em evolução.
De acordo com a plataforma de computação em nuvem da Microsoft, Azure, Software como serviço, ou SaaS, é um modelo baseado em nuvem em que os aplicativos de software são hospedados por um provedor de serviços e acessados pela Internet. Os provedores de SaaS gerenciam a infraestrutura, segurança, manutenção e atualizações subjacentes.
A Ezynetic também foi dirigida pelo PDPC para obter a Agência de Segurança Cibernética da Certificação Cyber Trustmark de Cingapura para sua nova rede de TI e reportar à Comissão sobre sua conclusão. Tais marcas certificam
Boas práticas de segurança cibernética
ajudando as empresas a realizar e mostrar sua preparação para atender a novos riscos,
Em 2 de dezembro, o Ezynetic foi informado da decisão preliminar do PDPC e, no dia seguinte, procurou uma renúncia ou redução à multa. A empresa citou seu compromisso financeiro em mitigar a violação, suas perdas como resultado de interrupções contínuas causadas pela violação e que ele havia cooperado com todos os órgãos regulatórios ao longo da investigação.
No entanto, o PDPC rejeitou isso, pois o compromisso financeiro da Ezynetic era uma “parte necessária de sua obrigação de implementar um arranjo de segurança razoável” sob sua obrigação de proteção e que a cooperação da Ezynética já foi levada em consideração ao determinar o valor bom.
“Enquanto (ezytic) forneceu algumas faturas que mostravam que sofreu despesas para implementar medidas corretivas, elas não mostraram que (ezinético) está em uma situação financeira tão terrível que a imposição de uma penalidade financeira de US $ 17.500 afetaria adversamente sua capacidade de continuar seus negócios”, disse o PDPC.
Como resultado, o PDPC disse que a Ezynetic foi obrigada a pagar a multa dentro de 30 dias a partir da data do aviso relevante que acompanha sua decisão. Se não o fizer, os juros serão acumulados até que a multa seja paga integralmente.
A empresa também deverá obter a certificação Cyber Trustmark para sua nova rede de TI dentro de 9 meses a partir da data da decisão do PDPC e deve se reportar à Comissão dentro de 14 dias após isso.
