德信270萬會員資料外泄
非網絡攻擊 拘涉事職員
【明報專訊】德信集團(Desjardins Group)一名職員被揭發「存心不良」,擅自蒐集近300萬個人和商戶的資料,當中包括姓名、住址、出生日期、社會保險號碼、電郵地址和交易習慣等,並跟該個魁省集團以外的其他人分享。德信強調,事件不涉網絡攻擊,而涉事職員已被解僱並被警方拘捕。
德信是北美最大的信用合作社聯盟,在魁省和安省各地都設有門店。是次資料外泄事件涉及約270萬名個人和17.3萬個商戶,超過其客戶和會員的40%。但德信強調,密碼、安全問題以及個人身分號碼均不受影響。
德信行政總裁科米爾(Guy Cormier)在滿地可的記者會上強調,事件並非基於網絡攻擊,而是一名職員不恰當取得和分享有關資料,事後他已被解僱,並遭拉瓦爾(Laval)警方逮捕,但尚未被落案起訴。
科米爾又解釋,事發時安全程序已到位,但該名職員設計成功取得同僚的信任,並涉嫌利用他們和其本人的身分登入系統收集大量數據。
德信於去年12月在例行監察期間發現可疑交易,於是報警,花了數個月時間才查出該次蒐集數據計劃所涉及的範圍。而去年5月,警方曾警告德信,其部分會員的個人資料遭外泄。
德信營運總監貝爾蒂奧姆(Denis Berthiaume)表示,該公司在拉瓦爾警方協助下進行內部調查,並辨認出涉事職員身分,而事後他被下令停職,並凍結其登入德信資料系統的資格,「他自停職起,所有資料交換活動已停止」。
與此同時,拉瓦爾警方繼續調查,並於周五知會德信是次數據竊取的範圍,以及受影響人士的身分。但警方發言人拒絕披露是次調查或該疑犯的細節,以保障進行中的調查工作。德信則指,涉事男職員在數據部門工作。
德信稱,目前已採取額外安全措施保障數據,並將會逐一通知每個受事件影響的會員。受影響者將獲得一個信貸監控計劃,為期12個月,由德信付費,該服務包括取得每日信貸報告,任何變更警示,以及身分盜用保險等。
魁省金融市場管理局(Autorite des marches financiers,AMF)形容情況「十分嚴重」,但指目前「滿意」德信所採取的行動。至於加國網上詐騙風險顧問Datarisk Canada行政總裁波帕(Claudiu Popa)則認為,這是加國金融機構其中一宗最大規模資料外泄事件。