综合多家媒体信息，超过40万新西兰人的个人信息因大型媒体公司MediaWorks遭到网络攻击而受到泄露。

这些信息取自 2016 年该公司的在线比赛数据库，包括姓名、出生日期、性别、地址、电子邮件地址和电话号码。

除此之外，作为参赛作品的一部分提交的一些图像和视频也已被窃取。

该媒体公司表示，受影响的数据库不包含密码、身份证件、财务信息、银行账户或信用卡详细信息。

MediaWorks公司已向受影响的人员发送电子邮件，并正在审查其 IT 系统。

该漏洞此前首次报道于 3 月 15 日，当时据称有多达 250 万人受到影响。

随后，MediaWorks 后来澄清这个数字是 403,000人。

该公司将其归咎于一个未识别的系统漏洞：“从初步调查来看，MediaWorks 了解到攻击者能够通过利用先前未识别的系统漏洞来访问数据。”

根据《2020 年隐私法》，遭遇隐私泄露或可能造成严重伤害的组织必须尽快通知隐私专员和受影响的人，其预计时间需要在事发的72 小时内。

然而新西兰隐私专员办公室告诉媒体：“MediaWorks 是于 3 月 19 日通知我们的，他们表示3 月 15 日发现网络黑客攻击导致隐私泄露。”

一些新西兰受害者告诉媒体，窃取信息的黑客已联系他们，要求支付删除他们个人信息的费用。

MediaWorks“强烈认为”不可以付钱，这也符合网络安全专家和政府的建议。

目前政府内阁已同意政府机构不支付网络赎金。

根据说明，支付赎金并不能保证被盗数据的删除或恶意软件的删除。而且还确实会为犯罪分子继续或扩大其活动创造了经济激励。

根据CER 的高级威胁和事件响应分析师 Sam Leggett 表示，即使是基本的个人信息细节也能为攻击者提供更多用于网络钓鱼活动的“有针对性的信息”。然后他们可以出售它或自己使用。

据了解，网络钓鱼是最传统的互联网诈骗之一，是指网络窃贼创建欺诈性身份，试图让人们泄露敏感信息，例如银行登录信息、信用卡详细信息或密码。

新西兰互联网安全组织Netsafe警告说：“他们可能冒充来自您的电话或互联网公司、律师事务所、银行甚至政府。诈骗者会要求您更新您的信息、提供详细个人信息、完成调查、付款或提出其他请求，以便他们能够访问您的个人资料。”

Leggett表示，在数据发生泄露后，人们可能会看到更多网络钓鱼形式的诈骗。

专家表示，主要的危险信号是看起来可疑的链接和电子邮件地址，以及下载附件、点击链接或输入敏感信息的意外请求。

根据《新西兰隐私法》，各机构必须采取合理措施避免安全漏洞并保护客户数据隐私。

CERT的专家表示，他鼓励各组织“只收集所需的尽可能少的信息”。同时也鼓励人们质疑一家公司是否真的需要其所要求的所有个人信息，特别是如果这些信息仅用于营销目的。

在经济衰退和公共部门削减的背景下，有专家担心安全方面可能会被削减。

有工作人员表示：“每当一个国家经济上受到打击时，犯罪分子就会采取更多行动。这很好地提醒我们，每个组织，无论大小，都需要注意安全性。而现在我们比以往任何时候都更需要它们。”