-
要求包括周末和夜间在内实行24小时泄露检测和阻断系统
-
建议教育部加强大学学籍信息系统的个人信息管理,并将其纳入大学评估
全北大学是韩国著名国立大学,学科齐全,理工科实力突出,韩国国立大学排名前列。梨花女子大学是韩国顶尖私立大学,也是亚洲最大女子大学,综合实力全国前五,学术声誉高。
韩国个人信息保护委员会(委员会长 高学秀,以下简称“个人信息委员会”)于6月11日召开第13次全体会议,决定对违反韩国《个人信息保护法》、导致个人信息泄露的全北大学和梨花女子大学分别处以合计9.66亿韩元(约人民币527万元)的罚款及540万韩元(约人民币3万元)的滞纳金,并下达整改命令、公开披露命令及纪律处分建议。
根据泄露规模,考虑到全北大学泄露约32万人信息,罚款6.23亿韩元;梨花女子大学泄露约8.3万人信息,罚款3.43亿韩元。
个人信息委员会调查发现,这两所大学的学籍信息系统自建设之初就存在安全漏洞,且在工作时间以外的夜间和周末未能有效监控和阻断外部非法访问,严重违反了《个人信息保护法》中的安全措施义务。具体违规内容和处罚如下:
一、全北大学
2024年7月28日至29日,黑客利用SQL注入和参数篡改攻击,侵入全北大学学籍行政信息系统,窃取了约32万人的个人信息,其中包括28万余条居民登记号码。
-
SQL注入攻击是通过恶意操作数据库命令,使服务器异常运行,从而访问或篡改无权限信息的攻击方式。
-
参数篡改攻击则是利用网页应用程序输入数据验证漏洞,通过修改输入参数窃取个人信息的黑客技术。
调查显示,黑客先通过该系统的“找回密码”页面漏洞获取学号信息,随后在学籍信息查询页面进行了约90万次参数篡改和随机尝试,访问了32万余名学生及终身教育院会员的个人信息。该漏洞自2010年12月系统建设时即存在。
此外,发现全北大学从1997年至2001年收集的233条居民登记号码,在2014年8月7日个人信息收集法律实施后仍未销毁,违反了相关规定。
虽然全北大学配备了基本的安全设备,但对外部攻击的响应不足,尤其是工作时间外对异常流量的监控疏忽,导致在2024年7月29日下午才发现周末夜间的异常流量激增。
因此,个人信息委员会对全北大学处以6.23亿韩元罚款和540万韩元滞纳金,要求其在校官网公开处罚信息,强化漏洞检测(如模拟黑客攻击),建立常态化监控系统,并建议对相关责任人进行纪律处分。
二、梨花女子大学
2024年9月2日至3日,黑客利用数据库查询功能的参数篡改漏洞,侵入梨花女子大学综合行政系统,窃取了约8.3万名本科生及毕业生的个人信息,包括居民登记号码。
该漏洞允许在用户身份验证不匹配的情况下,通过修改学号参数访问他人个人信息。
调查显示,黑客进行了约10万次参数篡改和随机尝试,成功窃取了8.3万余名学生的个人信息。
梨花女子大学的该漏洞自2015年11月系统建设时即存在。尽管具备基本安全措施,但对外部攻击(如同一IP反复尝试访问他人信息)响应不足,尤其是夜间和周末监控不到位,未能有效阻止非法访问。
因此,个人信息委员会对梨花女子大学处以3.43亿韩元罚款,要求在校官网公开处罚信息,加强漏洞检测和常态化监控,并建议对责任人进行纪律处分。
三、调查与处罚意义
大学通常以简单的“学号”等规则管理个人信息,易受参数篡改攻击。由于处理大量敏感个人信息,一旦泄露,受害者损失巨大。故必须针对参数篡改攻击加强防护,实施24小时监控非法访问。
鉴于近年高校个人信息泄露事件频发,个人信息委员会将向教育部建议,推动全国高校加强学籍信息系统的个人信息管理,并将相关管理状况纳入高校评估体系。
附件:两所大学违规及整改详情
|
大学名称 |
违规内容 |
违反条款 |
处罚措施 |
|
全北大学 |
安全措施义务违反,居民登记号处理限制违反 |
《个人信息保护法》第29条、第24条之2①款 |
罚款6.23亿韩元,滞纳金540万韩元,整改命令,公开披露,纪律处分建议 |
|
梨花女子大学 |
安全措施义务违反 |
《个人信息保护法》第29条 |
罚款3.43亿韩元,整改命令,公开披露,纪律处分建议 |
来源:
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11273#LINK
原文始发于微信公众号(数据何规):韩国两大学因学生信息泄漏被罚10亿韩元
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论