Jump to content

日企Adastria泄6萬客資料兼暗網公開 私隱署揭缺失多:本可避免

Desmond Milligan

By Desmond Milligan
in News

 Share

Recommended Posts

Desmond Milligan Newbie

Desmond Milligan 0

Posted
Posted
72c6ea377b479575f29486693b8284.jpg

個人資料私隱專員鍾麗玲今日(21日)舉行記者會,發表兩份資料外泄事故調查報告。其中跨國時裝品牌Adastria的客戶關係管理平台及電子商務平台,去年10月下旬遭黑客入侵,逾5.9萬人資料外泄,並遭黑客在暗網上公開及予人下載,部分被用作進行詐騙。

另外,光雅珠寶貿易有限公司(光雅)及愛飾管理有限公司(愛飾)亦在去年發生資料外泄事故,逾7.9萬客戶、現職及已離職員工的個人資料被黑客盜取及刪除。鍾麗玲表示,對兩宗事故同感遺憾,裁定涉事公司違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已發出通知要求他們採取措施糾正違規事項,並防止類似違規情況再次發生。

個人資料私隱專員公署8月21日發表兩宗零售商資料外洩事故報告 有個人資料暗網被公開。(資料圖片/夏家朗攝)

Adastria總公司是日本跨國企業,業務範圍包括日本、中國、香港及泰國等地,事故發生時透過網上平台「dotstHK」管理「niko and…」、「GLOBALWORK」及「Heather」等多個服裝品牌。私隱專員公署表示,去年11月18日接獲通報資料外泄事故,指其客戶關係管理平台及電子商務平台被未獲授權的第三方入侵,59,205名客戶的個人資料被竊取,包括客戶姓名、電話號碼與訂單資料等。

黑客從不明海外IP入侵 客戶資料被上傳暗網公開下載

Adastria指,事故發生於去年10月下旬,至11月初收到4位客戶投訴,指收到其員工的可疑來電,表示貨品有存在品質問題,需安排退款等,又向客戶索取銀行帳號等資料。客戶起疑後,向公司投訴,因而揭發事件。

據公署調查發現,受影響平台由第三方供應商提供,以「軟件即服務(SAAS)」方式運作。公署指,黑客利用一名現職員工的管理員帳戶憑證,從一個不明海外IP位址連接至受影響平台,下載儲存於當中的訂單資料。公署就事件向Adastria進行了5次查詢,又取閱了第三方顧問的兩份報告,確認有關個人資料被不法之徒用來作詐騙,並在暗網公開及供下載。

公署指Adastria有以下缺失,包括薄弱的密碼管理,涉事受影響平台密碼要求只是6位數簡單組合,而且2年來從未更改。而且服務供應商有提供很多密碼管理措拖,如密碼字數要求,定時更改密碼等可以實施,但Adastria均沒有啟用;沒有啟用多重認證功能;缺乏保障個人資料意識,以及從服務使用者角度,對受影響平台進行保安檢視等。公署認為,Adastria如有啟用服務供應商提供的工具,其實可以避免今次事故。

Adastria有密碼管理薄弱、未有為存取帳戶啟用多重認證功能等多個缺失,私隱專員鍾麗玲對其資料保安意識不足及欠缺適當措施保障所持有的個人資料,表示遺憾。(資料圖片/廖雁雄攝)

光雅珠寶去年11月亦遭入侵 離職員工帳戶閒置13年成缺口

光雅珠寶貿易有限公司(光雅)及愛飾管理有限公司(愛飾)去年亦發生資料外泄事故,愛飾母公司為光雅,兩間公司共同使用及管理同一伺服器及資料系統,包括應用程式及資料庫等。去年11月11日,他們向公署通報有資料外泄事故,及後確認其系統受黑客入侵,約79,400人資料外泄,包括光雅的公司客戶、現職及離職員工;以及愛飾的店舖客戶、現職及離職員工的個人資料。涉及資料包括員工及客戶的姓名、香港身份證號碼、出生日期、電話號碼及地址等。當中受影響客戶超過7.5萬名。

公署調查發現,黑客是透過「暴力攻擊」去取得有憑證的帳戶,即透過電腦程式生成大量憑程以強行嘗試登入有關帳戶,而該帳戶屬靜止帳戶,已閒置超過13年,鍾麗玲認為保留該帳戶並不合理「點解一個冇用嘅帳戶可以留咁耐」。公署又指,黑客成功入侵後,便進行橫向移動,並注入木馬程式,獲取系統原始程式碼,然後盜取伺服器內的個人資料,事故屬典型的黑客攻擊事故。

公署認為光雅及愛飾同有以下缺失,包括未有即時刪除離職員工帳戶,沒有為帳戶開啟多重認證;欠有效保安及偵測措拖,防火牆軟件及防毒軟件過時;沒有設定有效或實時監測的措拖;欠缺資訊保安政策及指引,沒有任何書面政策,未有資料保安事故應變計劃,以及未有保安評估及審計。

鍾麗玲表示,對兩宗事故同感遺憾,裁定涉事公司同違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已發出通知要求他們採取措施糾正違規事項,並防止類似違規情況再次發生。

View the full article

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing


×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. to insert a cookie message