個人資料私隱專員公署今日(21日)公布,去年跨國時裝品牌Adastria客戶關係管理平台及電子商務平台遭入侵,導致逾5.9萬人資料外洩的調查結果。公署指,受影響個人資料於外洩事件發生約兩個月後在「暗網」公開,並可供下載,認為事故相當有機會可以避免,而Adastria有密碼管理薄弱、未有為存取帳戶啟用多重認證功能等多個缺失,私隱專員對其資料保安意識不足及欠缺適當措施保障所持有的個人資料,表示遺憾。
Adastria逾5.9萬客戶個資被竊取
Adastria總公司是日本跨國企業,外洩事件發生時透過網上平台「dotstHK」管理niko and…、GLOBALWORK、Heather等多個服裝品牌在本港的銷售。Adastria去年11月18日向公署通報資料外洩事故,表示其客戶關係管理平台及電子商務平台遭受未獲授權的第三方入侵,導致客戶個人資料被竊取,合共影響59,205名客戶的個人資料,涉及客戶姓名、電話號碼與訂單資料。
調查發現,受影響平台由第三方供應商提供,以「軟件即服務」方式運作,黑客利用一名現職員工管理員帳戶的帳戶憑證,從一個不明海外IP位址連接至受影響平台,繼而下載儲存於當中的訂單資料。
Adastria密碼管理薄弱
私隱專員認為,Adastria有以下缺失,包括密碼管理薄弱;未有為存取帳戶啟用多重認證功能;缺乏保障個人資料的意識;及未有對受影響平台進行適當的保安檢視。私隱專員裁定,Adastria違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已向Adastria送達執行通知,指示其採取措施以糾正違規事項,防止類似違規情況再次發生。
光雅珠寶及愛飾管理有限公司 逾7.9萬客戶、員工等資料外洩
另外,私隱專員公署公布,去年光雅珠寶貿易有限公司(光雅)及愛飾管理有限公司(愛飾)外洩事故的調查結果。事故於去年11月11日通報,約79,400人資料外洩,包括光雅的公司客戶、現職及離職員工;以及愛飾的店舖客戶、現職及離職員工的個人資料。所涉資料包括員工姓名、香港身份證號碼、出生日期、電話號碼、地址及入職日期,以及客戶的姓名、香港身份證號碼(首四位數字或英文字母)、出生年份及月份、電話號碼、電郵地址及會員編號。
調查發現,黑客透過暴力攻擊取得一個具系統管理員權限帳戶的帳戶憑證,利用相關帳戶取得進入光雅及愛飾的資訊系統的訪問權限後,在資訊系統進行橫向移動,包括於一台用於內部系統開發及編程的桌上電腦注人木馬程式,繼而獲取能操控資料庫伺服器的原始程式碼,並成功盜取及刪除儲存在內的個人資料。
光雅及愛飾未適時刪除離職員工帳戶
私隱專員認為,光雅及愛飾有以下缺失,包括未適時刪除離職員工帳戶;資訊系統欠缺有效保安及偵測措施;伺服器作業系統過時;欠缺資訊保安政策及指引;及未有對資訊系統進行保安評估及審計。私隱專員裁定,光雅及愛飾違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已向光雅及愛飾送達執行通知,指示其採取措施以糾正違規事項,防止類似違規情況再次發生。
記者:蕭博禧
攝影記者:劉駿軒
