【點新聞報道】個人資料私隱專員公署(私隱專員公署)今日(21日)舉行傳媒簡報會,發表兩份資料外洩事故調查報告,兩宗事故分別為光雅珠寶貿易有限公司(光雅)及愛飾管理有限公司(愛飾),以及Adastria Asia Co., Limited(Adastria)的資料外洩事件。
第一份報告指,光雅及愛飾於2024年11月11日向私隱專員公署通報資料外洩事故,隨後私隱專員公署展開調查。調查發現,黑客透過暴力攻擊取得一個具系統管理員權限賬戶的賬戶憑證,並利用該賬戶盜取及刪除資訊系統的個人資料,受該外洩事件影響的資料當事人約79,400名。私隱專員公署就外洩事件進行了7次查訊,並審視光雅及愛飾提供的資料,以及光雅及愛飾就外洩事件的跟進及補救工作。
個人資料私隱專員鍾麗玲認為光雅及愛飾的以下缺失是導致外洩事件發生的主因:
- 未有適時刪除離職員工賬戶;
- 資訊系統欠缺有效的保安及偵測措施;
- 伺服器的作業系統已過時;
- 欠缺資訊保安政策及指引;
- 未有對資訊系統進行保安評估及審計。
第二宗調查源於Adastria於2024年11月18日向私隱專員公署通報資料外洩事故。調查發現,黑客利用一名現職員工的管理員賬戶的賬戶憑證,從一個不明的海外IP位址連接至Adastria的客戶關係管理平台及電子商務平台,繼而下載儲存於當中的訂單資料。該事故合共影響59,205名香港客戶的個人資料,在調查過程中,Adastria發現受影響的個人資料於外洩事件發生約兩個月後在「暗網」公開,並可供下載。
報告指出Adastria的以下缺失是導致外洩事件發生的主因:
- 薄弱的密碼管理;
- 未有為存取賬戶啟用多重認證功能;
- 缺乏保障個人資料的意識;
- 未有對受影響平台進行適當的保安檢視。
鍾麗玲裁定上述兩宗外洩事件的3間公司沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《個人資料(私隱)條例》(《私隱條例》)的保障資料第4(1)原則有關個人資料保安的規定。
鍾麗玲表示,上述兩宗資料外洩事件都涉及持有大量客戶個人資料的零售業機構,而其中一宗更有證據明確顯示客戶資料外洩後在「暗網」公開,可見資料外洩個案與個人資料被販賣圖利,以及個人資料被騙徒使用於詐騙活動不無關係。她提醒零售行業及持有大量客戶資料的機構:「面對與日俱增的網絡安全威脅,機構應視其所持有的個人資料為重要資產,投放足夠資源於網絡保安及數據安全,從而保障所持有的個人資料,以符合《私隱條例》的規定及資料當事人的合理期望。」
私隱專員公署鼓勵機構參考公署刊發的《資訊及通訊科技的保安措施指引》及《資料外洩事故的處理及通報指引》,未雨綢繆,提升網絡安全和數據安全。為協助企業保障數據安全,私隱專員公署已推出「數據安全」專題網頁(點擊瀏覽)、「數據安全」熱線(2110 1155),以及方便企業就其資訊及通訊系統的資料保安措施進行自我評估的「數據安全快測」(點擊瀏覽)。
此外,鍾麗玲回答媒體提問時表示,目前未收到任何關於上述兩宗外洩事件的查詢或投訴,受影響的資料當事人此前應已收到相關通知,告知其更改網上信息、賬戶密碼等,已被洩露資料的人士亦應提高警惕,對於不明來電及郵件要多重核實,不輕易提供個人資料。
關於光雅及愛飾外洩事件主因的「未有適時刪除離職員工賬戶」,媒體詢問是否有刪除期限的相關規定,鍾麗玲表示,企業對於離職員工賬戶及資料的管理,應根據具體情況及相關法例,在完成員工所有離職程序後,若無需再使用其賬戶及資料即可適時刪除。
(點新聞記者梁譯尹報道)
收藏
取消收藏
分享
