日企Adastria及愛飾珠寶分別約6萬及8萬人個資外洩。(蘇文傑攝)
個人資料私隱專員公署今日(21日)發表兩份個人資料外洩事故調查報告,分別涉及珠寶公司和服裝公司,違反《個人資料(私隱)條例》的相關規定,已送達執行通知,要求即時採取糾正措施。
有個資在「暗網」被公開
其中一宗個案,涉及一間日本跨國企業「Adastria」的服裝公司,事件發生時透過網上平台「dotstHK」管理niko and…、GLOBALWORK、Heather等多個服裝品牌。其客戶關係管理平台及電子商務平台於去年11月遭受未獲授權的第三方入侵。事故中,黑客利用一名現職員工的管理帳戶的憑證,從一個不明的海外IP位址連接並下載當中的訂單資料,外洩的個人資料牽涉59,205名客戶。個人資料私隱專員鍾麗玲表示,事故發生約兩個月後,受影響的個人資料在「暗網」被公開及可下載,甚至被用作詐騙用途。公署指系統密碼管理薄弱,管理員帳戶沒有多重認證。
暴力攻擊取得系統管理員帳戶
另一個案,涉及「愛飾珠寶」及其母公司共用的資訊系統資料,在去年11月遭受黑客盜取及刪除,受影響資料包括公司客戶、現職及離職員工的個人資料,受影響的資料當事人約79,400名,其中超過75,000名屬公司客戶。公署發現,公司未有刪除離職員工帳戶,防火牆過時等。事故中,黑客透過暴力攻擊,取得一個靜止超過13年、具系統管理員權限的帳戶,並於一台用於內部開發及編程的桌上電腦注入木馬程式。
鍾麗玲表示,兩宗個案均涉及持有大量客戶個人資料的零售公司,其中一宗個案的資料更被販賣圖利。她提醒機構應該投放足夠的資源保障所持有的個人資料,採取合適的措施保障載有個人資料的系統。
ADVERTISEMENT
