หลังจากที่ Acer ถูกแฮ็คไปในช่วงเดือนมิถุนายน 2016 ถูกศาลตัดสินปรับเงินเป็นจำนวนเงิน 115,000$ (ประมาณ​ 4,140,000 บาท) และให้เพิ่มระดับ security ขององค์กรตาม best practice

Acer มีข่าวว่าถูกแฮ็คในช่วงเดือนมิถุนายน 2016 โดยข้อมูลที่หลุดมานั้นเป็นข้อมูลส่วนตัวของลูกค้า (Personal Indentifiable Information:PII) ประมาณ 35000 คน ซึ่งข้อมูดังกล่าวประกอบไปด้วย ชื่อ, ที่อยู่, email, หมายเลขบัตร, วันหมดอายุ, security code และ username/password ซึ่งจากการสอบสวนพบว่ามีการเข้าถึงข้อมูลดัวกล่าวตั้งแต่เมื่อ 1 ปีก่อน นั่นคือช่วงเดือน พฤษภาคม 2015 – เมษายน 2016

จากการสอบสวนโดย New York State Attorney General (NYSAG) Eric T. Schneiderman พบว่าข้อมูลที่หลุดออกมาไม่ได้มีการเข้ารหัสแต่อย่างใด โดยเกิดจากเว็บ eCommerce ของ  Acer มีการ set configure เป็นแบบ default และไม่ปลอดภัย (Misconfiguration) ทำให้สามารถทำ directory traversal โดยไม่ต้องเข้าสู่ระบบก่อนได้

ซึ่งจากคำสั่งศาล ทาง Acer ต้องจ่ายค่าปรับ 115000$ และต้องมีการปรับปรุงระบบความปลอดภัยให้ดียิ่งขึ้น ซึ่งรวมถึงการสั่งให้พนักงานร่วมมือกับผู้ควบคุมด้าน privacy และกระบวนการต่างๆมากมายเพื่อให้องค์กรมีความน่าเชื่อถือในเรื่องความปลอดภัยมากขึ้น

Eric T. Schneiderman กล่าวในคำสั่งที่ศาลตัดสินว่า “ธุรกิจมีหน้าที่ต้องป้องกันข้อมูลของลูกค้าของพวกเค้า ให้มีความปลอดภัยมากที่สุดเท่าที่จะเป็นไปได้, การที่ขาดความปลอดภัยอย่างที่เราพบใน Acer ทำให้ข้อมูลบัตรเครดิตและข้อมูลส่วนตัวของชาว New York ตกอยู่ในความเสี่ยง เป็นสิ่งที่ยอมรับไม่ได้ และมันเป็นสิ่งที่ต้องเปลี่ยนไปภายใต้กฏข้อบังคับตามคำสั่งศาลในวันนี้” “Office ของผมจะยังคงไม่ปล่อยเรื่องความรับผิดชอบของธุรกิจ เพื่อคอยป้องกันข้อมูลส่วนตัวของลูกค้าต่อไป”

Source:: SCMagazine.com