瑞典隱私保護局(IMY)宣布,針對人資與職業安全系統供應商Miljödata遭駭客攻擊導致大量個資外洩一事,正式展開GDPR稽核。此次稽核鎖定Miljödata本身,以及哥德堡市政府、阿姆胡特市政府與西曼蘭省政府3個使用單位。IMY指出,檢方掌握的外流規模超過150萬名自然人資料,且多數檔案已在暗網被公開。
IMY將調查資安控制是否失當,以及處理的個資類型與對象,包含是否涉及受保護身分者、已離職多年員工與兒少,並不排除後續依風險擴大抽查對象。官方表示,這起外洩事件導致瑞典相當比例人口的個資在暗網曝光,其中部分屬於敏感性資訊。
事件發生於今年8月底,Miljödata遭勒索軟體入侵,數周後外洩資料陸續出現在暗網。外洩內容涵蓋姓名、電話、住址、生日、性別、電子郵件與政府核發個人識別號碼等敏感資訊。Have I Been Pwned網站在9月將此事件納入資料庫,顯示約87萬筆獨立電子郵件地址受到影響。
此事件最早受到關注,起因於Volvo集團北美向員工發布資安通知,公司在信中說明,自家系統並未遭入侵,但因使用第三方服務Miljödata,部分員工資料可能遭波及。Volvo因此主動通報受影響員工,並提供身分防護與信用監測等服務,以降低後續風險。
瑞典隱私保護局的稽核,將檢視Miljödata及3個公共機關在系統中處理個資時的安全措施與資料類型。雖然IMY未評論事件責任歸屬,但此次調查也被視為瑞典主管機關對公共部門採用第三方雲端人資系統之法遵實務的檢視。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
Advertisement