公開資訊觀測站重大訊息公告
(5287)數字-本公司網路資安事件說明
1.事實發生日:115/05/25
2.發生緣由:本公司於115年5月25日進行內部活動網頁開發與測試流程時,
因程式碼管理作業設定不當,致部分未去識別化之測試原始碼曾短暫推送至外部平台,
包含特定專案之會員姓名、身分證字號、電子郵件之個資。
3.處理過程:
本公司資安團隊於當日偵測發現後,隨即啟動資安緊急應變機制,已於當日14:00完成
全面下架、刪除及封鎖程序。隨後同步進行歷史紀錄清除、外部存取痕跡確認、
密鑰輪替及全站程式碼安全掃描,已確認該風險路徑完全阻斷。
4.預計可能損失或影響:目前評估對公司營運尚無重大影響。
5.可能獲得保險理賠之金額:不適用。
6.改善情形及未來因應措施:
(1)依據安全軟體發展生命週期 (SSDLC)之框架,優化開發流程管制作業
(2)落實權限管理及審查,避免未經授權之人員得以讀取相關資料
(3)嚴格控管第三方工具之使用,僅經核准之工具得以於限制範圍內使用
(4)持續提升資安防禦,強化監控與防護層級
(5)加強同仁資安及個資保護觀念,確保類似事件不再發生,以竭力保護所有會員
之權益。
(6)依法通報個資主管機關,並透過電子郵件方式通知本次事件受影響之當事人及
提供專屬客服協助與關懷聯繫資訊。
7.其他應敘明事項:
1.涉及之資料欄位彼此獨立,未經關聯配對。
2.經全面盤點,確認未涉及任何會員付款資料、銀行帳戶、信用卡資料
或完整履歷等高度機敏資料。
|