香港文匯報訊(記者 張茗)個人資料私隱專員公署昨日發表兩宗資料外洩事故的調查報告,涉及3間共約13.9萬名客戶及員工個人資料的私人企業,當中一宗逾5.9萬名客戶資料外洩後被放在「暗網」公開,顯示個人資料被販賣圖利,且用於詐騙活動。私隱專員鍾麗玲指出,有關機構的資訊安全意識薄弱,系統維護缺失,違反《私隱條例》,提醒機構在網絡保安及數據安全投放足夠資源,保障所持有的個人資料符合條例規定及資料當事人合理期望,公署已向上述企業送達執行通知,指示採取措施以糾正違規事項,防止類似違規情況再次發生。
珠寶店防毒軟件過時中招
昨日公布的首宗事故涉及從事珠寶業的愛飾管理有限公司及其母公司光雅珠寶貿易有限公司。光雅從事珠寶製造及批發,愛飾則從事珠寶零售,經營「My Jewelry 愛飾珠寶」品牌。公司去年11月向私隱專員公署通報資料外洩事故,指兩公司共用資訊系統遭黑客入侵,資料庫伺服器內的資料被盜取並刪除。事件波及79,400人,包括光雅客戶、兩家公司的現職及離職員工,以及愛飾的零售客戶,包括客戶及員工的姓名、香港身份證號碼、出生年份及月份和電話號碼等。
調查顯示,黑客通過「暴力攻擊」手段,利用一個已停用13年的具系統管理權限的離職員工賬戶登入資料系統,並於一台用於內部系統開發及編程的桌上電腦注入木馬程式,獲取能操控資料庫伺服器的原始程式碼,成功盜取及刪除儲存在內的個人資料。
服裝企業密碼管理薄弱挨批
第二宗外洩事故涉及日本跨國企業Adastria Asia Co. Limited,該企業在亞洲多個國家及地區經營服裝零售。該企業去年11月通報,客戶關係管理平台及電子商務平台遭入侵,59,205名香港客戶的個人資料外洩,涉及客戶姓名、電話號碼及訂單資料。外洩資料約兩個月後在「暗網」公開供下載,更被用於電話詐騙,4名客戶接獲偽裝成公司員工的來電,以「產品質量問題需退款」為由套取客戶資料。
私隱專員強調,Adastria作為跨國企業,持有大量客戶資料卻密碼管理薄弱,忽視基礎安全措施,若及時啟用多重認證或強化密碼政策,事故本可避免,同樣違反《私隱條例》。
目前涉事客戶資料仍在網上流通,雖未包含銀行賬號信息,但騙徒可利用個人資料等數據實施精準詐騙。
評論