Koreaans relatiebureau krijgt boete voor gevoelig datalek door malware

In dit artikel:

Het Zuid-Koreaanse huwelijksbureau Duo is door de privacytoezichthouder PIPC beboet voor ongeveer €690.000 nadat malware begin vorig jaar een medewerkerspc infecteerde. De aanvaller stal op die machine inloggegevens voor de databaseserver en publiceerde vervolgens persoonlijke gegevens van meer dan 427.000 leden online. Onder de gelekte informatie zaten kopieën van identiteitsbewijzen, wachtwoordhashes, namen, geboortedata, geslacht, e-mailadressen, telefoonnummers, adressen, lengte, gewicht, bloedgroep, religie, hobby’s, huwelijksverleden en opleidings- en werkgegevens.

De PIPC concludeerde dat Duo nalatig was: onvoldoende toegangsbeveiliging, gebruik van kwetsbare hashing-algoritmes, het verzamelen en langer bewaren van data zonder geldige grondslag, en te late melding van het lek aan toezichthouder en betrokkenen. Naast de boete moet Duo slachtoffers informeren, de beveiliging versterken en dataminimalisatie toepassen. Dit voorval onderstreept het belang van passende technische en organisatorische maatregelen bij verwerking van gevoelige persoonsgegevens.