個人資料私隱專員鍾麗玲今日(21日)舉行記者會,發表兩份資料外泄事故調查報告。其中跨國時裝品牌Adastria的客戶關係管理平台及電子商務平台,去年10月下旬遭黑客入侵,逾5.9萬人資料外泄,並遭黑客在暗網上公開及予人下載,部分被用作進行詐騙。
另外,光雅珠寶貿易有限公司(光雅)及愛飾管理有限公司(愛飾)亦在去年發生資料外泄事故,逾7.9萬客戶、現職及已離職員工的個人資料被黑客盜取及刪除。鍾麗玲表示,對兩宗事故同感遺憾,裁定涉事公司違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已發出通知要求他們採取措施糾正違規事項,並防止類似違規情況再次發生。
Adastria總公司是日本跨國企業,業務範圍包括日本、中國、香港及泰國等地,事故發生時透過網上平台「dotstHK」管理「niko and…」、「GLOBALWORK」及「Heather」等多個服裝品牌。私隱專員公署表示,去年11月18日接獲通報資料外泄事故,指其客戶關係管理平台及電子商務平台被未獲授權的第三方入侵,59,205名客戶的個人資料被竊取,包括客戶姓名、電話號碼與訂單資料等。
黑客從不明海外IP入侵 客戶資料被上傳暗網公開下載
Adastria指,事故發生於去年10月下旬,至11月初收到4位客戶投訴,指收到其員工的可疑來電,表示貨品有存在品質問題,需安排退款等,又向客戶索取銀行帳號等資料。客戶起疑後,向公司投訴,因而揭發事件。
據公署調查發現,受影響平台由第三方供應商提供,以「軟件即服務(SAAS)」方式運作。公署指,黑客利用一名現職員工的管理員帳戶憑證,從一個不明海外IP位址連接至受影響平台,下載儲存於當中的訂單資料。公署就事件向Adastria進行了5次查詢,又取閱了第三方顧問的兩份報告,確認有關個人資料被不法之徒用來作詐騙,並在暗網公開及供下載。
公署指Adastria有以下缺失,包括薄弱的密碼管理,涉事受影響平台密碼要求只是6位數簡單組合,而且2年來從未更改。而且服務供應商有提供很多密碼管理措拖,如密碼字數要求,定時更改密碼等可以實施,但Adastria均沒有啟用;沒有啟用多重認證功能;缺乏保障個人資料意識,以及從服務使用者角度,對受影響平台進行保安檢視等。公署認為,Adastria如有啟用服務供應商提供的工具,其實可以避免今次事故。
光雅珠寶去年11月亦遭入侵 離職員工帳戶閒置13年成缺口
光雅珠寶貿易有限公司(光雅)及愛飾管理有限公司(愛飾)去年亦發生資料外泄事故,愛飾母公司為光雅,兩間公司共同使用及管理同一伺服器及資料系統,包括應用程式及資料庫等。去年11月11日,他們向公署通報有資料外泄事故,及後確認其系統受黑客入侵,約79,400人資料外泄,包括光雅的公司客戶、現職及離職員工;以及愛飾的店舖客戶、現職及離職員工的個人資料。涉及資料包括員工及客戶的姓名、香港身份證號碼、出生日期、電話號碼及地址等。當中受影響客戶超過7.5萬名。
公署調查發現,黑客是透過「暴力攻擊」去取得有憑證的帳戶,即透過電腦程式生成大量憑程以強行嘗試登入有關帳戶,而該帳戶屬靜止帳戶,已閒置超過13年,鍾麗玲認為保留該帳戶並不合理「點解一個冇用嘅帳戶可以留咁耐」。公署又指,黑客成功入侵後,便進行橫向移動,並注入木馬程式,獲取系統原始程式碼,然後盜取伺服器內的個人資料,事故屬典型的黑客攻擊事故。
公署認為光雅及愛飾同有以下缺失,包括未有即時刪除離職員工帳戶,沒有為帳戶開啟多重認證;欠有效保安及偵測措拖,防火牆軟件及防毒軟件過時;沒有設定有效或實時監測的措拖;欠缺資訊保安政策及指引,沒有任何書面政策,未有資料保安事故應變計劃,以及未有保安評估及審計。
鍾麗玲表示,對兩宗事故同感遺憾,裁定涉事公司同違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已發出通知要求他們採取措施糾正違規事項,並防止類似違規情況再次發生。
Comments