數據傳輸工具遭黑客入侵 投資基金客戶忿個資被泄
【明報專訊】金融機構Mackenzie Investments的一些客戶表示,他們的個人信息(包括工卡號碼,SIN)因數據被泄露已有3周時間,肇事的金融機構給予的幫助卻很少。如今這些受害人質疑,從一開始他們的數據為什麼被第三方保留。
今年4月下旬,Mackenzie Investments基金的一些投資者被告知,因為一款很流行的數據傳輸工具GoAnywhere在今年1月遭入侵,黑客通過InvestorCOM Inc.獲取到客戶的姓名、地址和SIN號碼。
InvestorCOM Inc.是一家提供打印和交付服務的提供商,客戶為使用GoAnywhere軟件的金融機構。上述情況影響了一些現任和前任投資者。
事情曝光後,大家關心的問題是:有多少加拿大人受到影響?為什麼許多投資者已經多年不持有Mackenzie或Franklin Templeton基金,但InvestorCom仍然有這些投資者的紀錄?
加拿大聯邦私營部門隱私法規定,遭受違規行為的公司必須與加拿大隱私專員辦公室(OPC)共享該信息,但OPC拒絕透露有多少加拿大人或公司受到了GoAnywhere漏洞的影響,只是說它知道這種情況。
OPC發言人皮列奇(Vito Pilieci)表示:「我們正在審查該報告,並正在與該公司進行持續溝通,以獲取更多信息並確定下一步行動。」
Mackenzie前高管貝克(Terry Beck)也是受害人之一,他的個人信息(包括 SIN)已被泄露。但貝克表示,他在四年前退休後便不再持有Mackenzie的投資。
他收到基金會的通知後只想知道,為什麼允許第三方供應商保留貝克的工卡號?
Mackenzie發言人Nini Krishnappa回應稱,金融服務公司必須將客戶信息存儲多長時間取決於不同的法律要求。「證券、保險、按揭貸款、稅收、反洗錢、隱私、就業和公司立法都有不同的最低紀錄保留要求。」
根據《所得稅法》,通常需要6年紀錄才會被抹去;根據反洗錢立法,也需要5年;而根據證券和SRO則通常需要7年。
其他投資者在獲得Mackenzie提供的支持方面遇到了困難。
數據泄露後,基金經理通過消費者信用報告機構TransUnion提供了2年的身分和信用免費保護,並在因欺詐造成財務損失的情況下,提供高達100萬元的保險。