鍾麗玲籲中小企投放足夠資源提升資訊安全。(蘇文傑攝)
私隱專員公署昨日公布兩個零售集團資料外洩事故的調查結果,包括去年本地珠寶零售公司光雅及其子公司愛飾,約7.94萬名客戶、現職及離職員工個人資料被盜;與跨國時裝品牌Adastria客戶關係管理平台及電子商務平台遭入侵,導致5.9萬人資料外洩事件。合共接近14萬客戶和員工的個人資料遭黑客盜取,部分客戶資料更被用作詐騙,並在「暗網」公開。私隱專員建議,機構應該視持有的個人資料為重要資產,投放足夠資源在網絡保安及數據安全,及時更新過時的資訊系統。
光雅珠寶貿易有限公司及愛飾管理有限公司去年11月向私隱專員公署通報,稱資料庫伺服器資料遭黑客盜取,約7.94萬客戶及員工資料外洩,當中逾7.5萬人為愛飾店舖客戶。外洩的資料包括姓名、香港身份證號碼四位數字或字母、出生年份及月份、電話號碼、電郵地址及會員編號等。
調查發現黑客透過暴力攻擊,取得一個閒置逾13年,未啟用多重認證及帳戶鎖定功能,又具系統管理員權限離職帳戶的帳戶憑證,後透過於注入木馬程式操控資料庫,從而盜取及刪除儲存在內的個人資料。個人資料私隱專員鍾麗玲指出,有關公司存在多項缺失,包括未有即時刪除離職員工帳戶,亦無評估或審計資訊系統存在保安風險、伺服器作業系統更過時超過4年等,因此裁定其違反《個人資料(私隱)條例》;已向光雅及愛飾送達執行通知,指示其採取措施以糾正違規事項,防止類似違規情況再次發生;並建議受影響客戶應即時更改網上會員帳戶及銀行戶口密碼。
Adastria逾5.9萬客戶個資遭竊取
另一宗事故涉及的是日本跨國時裝品牌Adastria,旗下有多個品牌,包括LOWRYS FARM、niko and ...、JEANASiS、HEATHER、GLOBAL WORK等,在港設多間分店。公署指Adastria去年遭黑客入侵客戶關係管理平台及電子商務平台,盜取59,205名本港客戶的個人資料,包括姓名、電話號碼及訂單資料,後於並在「暗網」公開,可供下載。
調查發現,受影響平台由第三方供應商提供,黑客利用一名現職員工的管理員帳戶的帳戶憑證,從一個不明海外IP位址連接至受影響平台,繼而下載儲存於當中的訂單資料。公署認為事故相當有機會避免,惟該公司平台對密碼管理薄弱,亦未為帳戶啟用多重認證功能,才讓資料被不法之徒盜作詐騙用途,對此表示遺憾,並裁定其違反《私隱條例》。
ADVERTISEMENT
