連鎖沖印店快圖美數據庫去年10月遭勒索軟件攻擊及惡意加密,令約61.9萬名會員及客戶的姓名、電話號碼和送貨地址等個人資料有外洩風險。私隱公署昨發表另一份報告,發現快圖美早在2019年已知存在保安漏洞,但未有採取任何修補行動,認為快圖美錯誤評估保安漏洞的風險,令到資料外洩;因沒有即時採取措施保障客戶個人資料,違反私隱條例。
私隱公署指,快圖美未及時修補保安漏洞遭勒索軟件成功攻擊。
快圖美2019年3月啟用「保安插口層虛擬私有網絡(SSL VPN)」供資訊科技部門於需要時遙距登入系統,兩個月後收到防火牆生產商提醒有保安漏洞,但快圖美經評估認為無需即時修補漏洞。其後因應疫情,快圖美安排大部分員工在家工作,令員工在家中也可以遙距存取系統資料,惟快圖美也沒有重新評估漏洞,遭勒索軟件攻擊後,令54.5萬名會員及7.4萬名曾在2020年11月16日至2021年10月26日光顧快圖美網上商店的客戶資料外洩。
私隱專員鍾麗玲指,快圖美在多方面存在嚴重不足,包括錯誤評估保安漏洞的風險、資訊系統管理有欠妥善及拖延啟用多重認證功能,沒有即時採取措施保障客戶個人資料,違反私隱條例。公署已指示快圖美糾正違規情況,包括定時進行系統保安風險評估和聘請獨立的保安專家等。
對於現時私隱條例阻嚇力,即公署發出執行通知書後3個月內不改善即屬犯罪,最高可被判罰款港幣5萬元及監禁2年。鍾麗玲認為條例阻嚇力不足,將審視整個私隱條例和參考海外相關法例,提出包括加重罰則的修訂。
