私隱專員公署發(fā)表兩份資料外洩事故調(diào)查報(bào)告����,涉及珠寶公司���、跨國時(shí)裝公司����,有逾13.8萬人受影響。私隱專員鍾麗玲表示�����,事件涉及持有大量客戶個(gè)人資料的零售業(yè)機(jī)構(gòu)�����,而其中一宗更有證據(jù)明確顯示客戶資料外洩後在「暗網(wǎng)」公開����。她提醒零售行業(yè)及持有大量客戶資料的機(jī)構(gòu):「面對(duì)與日俱增的網(wǎng)絡(luò)安全威脅,機(jī)構(gòu)應(yīng)視其所持有的個(gè)人資料為重要資產(chǎn)��,投放足夠資源於網(wǎng)絡(luò)保安及數(shù)據(jù)安全���,從而保障所持有的個(gè)人資料����?!?/p>
關(guān)於光雅及愛飾的資料外洩事故,調(diào)查源於光雅及愛飾於2024年11月11日向私隱專員公署通報(bào)資料外洩事故�,表示其共用的資訊系統(tǒng)出現(xiàn)異常,並收到黑客的訊息指儲(chǔ)存於光雅及愛飾資訊系統(tǒng)內(nèi)的資料已被盜取���。經(jīng)檢查後�����,光雅及愛飾確認(rèn)儲(chǔ)存於資料庫伺服器的資料已被黑客盜取及刪除����。
光雅是愛飾的母公司,從事珠寶製造及批發(fā)�,而愛飾則從事珠寶零售,經(jīng)營「My Jewelry愛飾珠寶」品牌�。光雅及愛飾共同管理及使用受外洩事件影響的資訊系統(tǒng),包括當(dāng)中的伺服器����、應(yīng)用程式及資料庫。
調(diào)查發(fā)現(xiàn)�����,黑客透過暴力攻擊取得一個(gè)具系統(tǒng)管理員權(quán)限的賬戶(相關(guān)賬戶)的賬戶憑證�。黑客利用相關(guān)賬戶取得進(jìn)入光雅及愛飾的資訊系統(tǒng)的訪問權(quán)限後,在資訊系統(tǒng)進(jìn)行橫向移動(dòng)�����,包括於一臺(tái)用於內(nèi)部系統(tǒng)開發(fā)及編程的桌上電腦注入木馬程式�,繼而獲取能操控資料庫伺服器的原始程式碼,並成功盜取及刪除儲(chǔ)存在內(nèi)的個(gè)人資料�����。
根據(jù)光雅及愛飾提供的資料����,受外洩事件影響的資料當(dāng)事人約 79,400 名,包括光雅的公司客戶���、現(xiàn)職及離職員工�����,以及愛飾的店舖客戶��、現(xiàn)職及離職員工的個(gè)人資料���,涉及的個(gè)人資料包括員工姓名、香港身份證號(hào)碼����、出生日期、電話號(hào)碼���、地址及入職日期��,以及客戶的姓名�、香港身份證號(hào)碼、出生年份及月份���、電話號(hào)碼�����、電郵地址及會(huì)員編號(hào)�。
私隱專員公署就外洩事件共進(jìn)行了七次查訊��,認(rèn)為光雅及愛飾的以下缺失是導(dǎo)致外洩事件發(fā)生的主因���,包括未有適時(shí)刪除離職員工賬戶����;資訊系統(tǒng)欠缺有效的保安及偵測(cè)措施����;伺服器的作業(yè)系統(tǒng)已過時(shí);欠缺資訊保安政策及指引�����;及未有對(duì)資訊系統(tǒng)進(jìn)行保安評(píng)估及審計(jì)。
至於涉及Adastria的資料外洩事故�����,調(diào)查源於Adastria於2024年11月18日向私隱專員公署通報(bào)資料外洩事故��,表示其客戶關(guān)係管理平臺(tái)及電子商務(wù)平臺(tái)(統(tǒng)稱受影響平臺(tái))遭受未獲授權(quán)的第三方入侵����,導(dǎo)致Adastria客戶的個(gè)人資料被竊?���。ˋdastria外洩事件)。
調(diào)查發(fā)現(xiàn)����,受影響平臺(tái)由第三方供應(yīng)商(該平臺(tái)供應(yīng)商)提供,以軟件即服務(wù)(Software-as-a-Service)方式運(yùn)作�����。在Adastria外洩事件當(dāng)中�,黑客利用一名現(xiàn)職員工的管理員賬戶的賬戶憑證,從一個(gè)不明的海外 IP 位址連接至受影響平臺(tái)��,繼而下載儲(chǔ)存於當(dāng)中的訂單資料。
Adastria的總公司是一間日本的跨國企業(yè)��,在多個(gè)亞洲國家經(jīng)營服裝零售�����。外洩事件合共影響59205名客戶的個(gè)人資料���,涉及的個(gè)人資料包括客戶的姓名����、電話號(hào)碼及訂單資料����,包括交易參考編號(hào)、訂單日期�、會(huì)員號(hào)碼、送貨方式���、送貨╱取貨日期����、送貨地址�����、產(chǎn)品名稱與描述,以及價(jià)格資料��。
在調(diào)查過程中�,Adastria發(fā)現(xiàn)受影響的個(gè)人資料於外洩事件發(fā)生約兩個(gè)月後在「暗網(wǎng)」公開,並可供下載�。
私隱專員公署就Adastria外洩事件共進(jìn)行了五次查訊,認(rèn)為Adastria的以下缺失是導(dǎo)致外洩事件發(fā)生的主因�,包括薄弱的密碼管理�����;未有為存取賬戶啟用多重認(rèn)證功能�����;缺乏保障個(gè)人資料的意識(shí)�����;及未有對(duì)受影響平臺(tái)進(jìn)行適當(dāng)?shù)谋0矙z視�����。
頂圖:私隱專員鍾麗玲發(fā)表調(diào)查報(bào)告。大會(huì)供圖
