韩国两大学因学生信息泄漏被罚10亿韩元

admin 2025年6月14日23:39:17评论23 views字数 1815阅读6分3秒阅读模式

安全措施疏忽导致个人信息泄露,韩国两所大学被处以9.66亿韩元罚款
  • 要求包括周末和夜间在内实行24小时泄露检测和阻断系统

  • 建议教育部加强大学学籍信息系统的个人信息管理,并将其纳入大学评估

全北大学是韩国著名国立大学,学科齐全,理工科实力突出,韩国国立大学排名前列。梨花女子大学是韩国顶尖私立大学,也是亚洲最大女子大学,综合实力全国前五,学术声誉高。

韩国个人信息保护委员会(委员会长 高学秀,以下简称“个人信息委员会”)于6月11日召开第13次全体会议,决定对违反韩国《个人信息保护法》、导致个人信息泄露的全北大学和梨花女子大学分别处以合计9.66亿韩元(约人民币527万元)的罚款及540万韩元(约人民币3万元)的滞纳金,并下达整改命令、公开披露命令及纪律处分建议。

根据泄露规模,考虑到全北大学泄露约32万人信息,罚款6.23亿韩元;梨花女子大学泄露约8.3万人信息,罚款3.43亿韩元。

个人信息委员会调查发现,这两所大学的学籍信息系统自建设之初就存在安全漏洞,且在工作时间以外的夜间和周末未能有效监控和阻断外部非法访问,严重违反了《个人信息保护法》中的安全措施义务。具体违规内容和处罚如下:

  一、全北大学

2024年7月28日至29日,黑客利用SQL注入和参数篡改攻击,侵入全北大学学籍行政信息系统,窃取了约32万人的个人信息,其中包括28万余条居民登记号码。

  • SQL注入攻击是通过恶意操作数据库命令,使服务器异常运行,从而访问或篡改无权限信息的攻击方式。

  • 参数篡改攻击则是利用网页应用程序输入数据验证漏洞,通过修改输入参数窃取个人信息的黑客技术。

调查显示,黑客先通过该系统的“找回密码”页面漏洞获取学号信息,随后在学籍信息查询页面进行了约90万次参数篡改和随机尝试,访问了32万余名学生及终身教育院会员的个人信息。该漏洞自2010年12月系统建设时即存在。

此外,发现全北大学从1997年至2001年收集的233条居民登记号码,在2014年8月7日个人信息收集法律实施后仍未销毁,违反了相关规定。

虽然全北大学配备了基本的安全设备,但对外部攻击的响应不足,尤其是工作时间外对异常流量的监控疏忽,导致在2024年7月29日下午才发现周末夜间的异常流量激增。

因此,个人信息委员会对全北大学处以6.23亿韩元罚款和540万韩元滞纳金,要求其在校官网公开处罚信息,强化漏洞检测(如模拟黑客攻击),建立常态化监控系统,并建议对相关责任人进行纪律处分。

  二、梨花女子大学

2024年9月2日至3日,黑客利用数据库查询功能的参数篡改漏洞,侵入梨花女子大学综合行政系统,窃取了约8.3万名本科生及毕业生的个人信息,包括居民登记号码。

该漏洞允许在用户身份验证不匹配的情况下,通过修改学号参数访问他人个人信息。

调查显示,黑客进行了约10万次参数篡改和随机尝试,成功窃取了8.3万余名学生的个人信息。

梨花女子大学的该漏洞自2015年11月系统建设时即存在。尽管具备基本安全措施,但对外部攻击(如同一IP反复尝试访问他人信息)响应不足,尤其是夜间和周末监控不到位,未能有效阻止非法访问。

因此,个人信息委员会对梨花女子大学处以3.43亿韩元罚款,要求在校官网公开处罚信息,加强漏洞检测和常态化监控,并建议对责任人进行纪律处分。

  三、调查与处罚意义

大学通常以简单的“学号”等规则管理个人信息,易受参数篡改攻击。由于处理大量敏感个人信息,一旦泄露,受害者损失巨大。故必须针对参数篡改攻击加强防护,实施24小时监控非法访问。

鉴于近年高校个人信息泄露事件频发,个人信息委员会将向教育部建议,推动全国高校加强学籍信息系统的个人信息管理,并将相关管理状况纳入高校评估体系。

附件:两所大学违规及整改详情

大学名称

违规内容

违反条款

处罚措施

全北大学

安全措施义务违反,居民登记号处理限制违反

《个人信息保护法》第29条、第24条之2①

罚款6.23亿韩元,滞纳金540万韩元,整改命令,公开披露,纪律处分建议

梨花女子大学

安全措施义务违反

《个人信息保护法》第29

罚款3.43亿韩元,整改命令,公开披露,纪律处分建议

来源:

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11273#LINK

原文始发于微信公众号(数据何规):韩国两大学因学生信息泄漏被罚10亿韩元

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月14日23:39:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   韩国两大学因学生信息泄漏被罚10亿韩元http://cn-sec.com/archives/4165110.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息