10万8488个乘客的个人资料外泄，提供来往峇淡岛和新加坡渡轮服务的渡轮公司何升快艇（Horizon Fast Ferry）被新加坡个人资料保护委员会下令缴付2万8000元的罚金，这也是个人资料保护令生效以来，该公司第三次因违反个人资料保护法令而遭当局开罚或警告。

根据新加坡个人资料保护委员会（Personal Data Protection Commission，PDPC）昨天（23日） 发布的裁决书，Horizon Fast Ferry去年4月25日通报了有关乘客的个人资料外泄的网络攻击事故。

外泄的资料包括乘客的名字、国籍、护照号码、生日以及护照的签发和有效日期，以及联络号码和电邮。

公司“外包”科技服务 同一人开设网站和技术支援

根据裁决书，何升快艇公司虽提供网上售票服务，但其实没有自己公司的信息技术部门，所有的信息技术服务都是公司位于峇淡岛的合作伙伴，在2019年所找来的一家信息技术公司提供的；而渡轮公司和这家海外的信息技术公司之间并无直接合约，一直都是对方一名管工（supervisor)出于“好意”，在海外提供技术支援，包括找人协助渡轮公司设立售票网站，以及在2022年6月开始找设立网站的主要工作人员另外成立的技术支援公司，来为网站提供所需的后援服务。

渡轮公司提供给信息技术公司用来设立网站并与用户资料直接相连的一个基础账号，之后在2019年间无法登录，信息技术公司的管工也认为那个账号已无法使用，就没再去管理那个账户。

渡轮公司与提供信息技术支援公司的非正式合作模式最终在2022年11月22日终止。 之后渡轮公司的信息技术服务工作就进入暂停状态，一直到2023年4月25日发生了资料外泄的事故。  

骇客截取客户资料向渡轮公司勒索

2023年3月19日开始，渡轮公司收到一些勒索电邮，显示一些客户的个人资料外泄，骇客勒索要渡轮公司支付款项以换取修复系统的漏洞。渡轮公司内部调查后发现骇客登录了当初认为无法再使用的基础账户，窃取了客户的个人资料，最初的那个信息技术管工在发现漏洞的同一天，立刻更换了登录资料。

不过，截至当时，已有10万8488个客户的个人资料外泄。 裁决书并未揭露骇客勒索多少金额。

渡轮公司在发生了客户资料外泄事件后，立刻找人重新设立网站和实施个人资料保护措施，同时也承诺会培训技术人员来督查确保公司严格遵守个人资料保护法令。

曾因违反个人资料保护令缴付5万4000元罚金

根据裁决书，渡轮公司曾在2019年7月25日因违反个人资料保护令而被下法令，缴付5万4000元罚金。另外，在2020年10月16日，也因为没有为公司的电邮提供合理的安全保障，而被当局发出警告。

不过，委员会考虑到渡轮公司主动报备事件也积极配合当局调查，也迅速采取补救行动，最终下令渡轮公司在裁决发布后的30天内缴付2万8000元的罚金。