私隱專員公署發(fā)表兩份資料外洩事故調(diào)查報告��,涉及珠寶公司�、跨國時裝公司����,有逾13.8萬人受影響。私隱專員鍾麗玲表示����,事件涉及持有大量客戶個人資料的零售業(yè)機構(gòu),而其中一宗更有證據(jù)明確顯示客戶資料外洩後在「暗網(wǎng)」公開�����。她提醒零售行業(yè)及持有大量客戶資料的機構(gòu):「面對與日俱增的網(wǎng)絡(luò)安全威脅���,機構(gòu)應視其所持有的個人資料為重要資產(chǎn)�����,投放足夠資源於網(wǎng)絡(luò)保安及數(shù)據(jù)安全��,從而保障所持有的個人資料��?���!?/p>
關(guān)於光雅及愛飾的資料外洩事故,調(diào)查源於光雅及愛飾於2024年11月11日向私隱專員公署通報資料外洩事故��,表示其共用的資訊系統(tǒng)出現(xiàn)異常����,並收到黑客的訊息指儲存於光雅及愛飾資訊系統(tǒng)內(nèi)的資料已被盜取。經(jīng)檢查後����,光雅及愛飾確認儲存於資料庫伺服器的資料已被黑客盜取及刪除。
光雅是愛飾的母公司�,從事珠寶製造及批發(fā),而愛飾則從事珠寶零售����,經(jīng)營「My Jewelry愛飾珠寶」品牌。光雅及愛飾共同管理及使用受外洩事件影響的資訊系統(tǒng)�����,包括當中的伺服器��、應用程式及資料庫�。
調(diào)查發(fā)現(xiàn),黑客透過暴力攻擊取得一個具系統(tǒng)管理員權(quán)限的賬戶(相關(guān)賬戶)的賬戶憑證�。黑客利用相關(guān)賬戶取得進入光雅及愛飾的資訊系統(tǒng)的訪問權(quán)限後,在資訊系統(tǒng)進行橫向移動����,包括於一臺用於內(nèi)部系統(tǒng)開發(fā)及編程的桌上電腦注入木馬程式,繼而獲取能操控資料庫伺服器的原始程式碼�,並成功盜取及刪除儲存在內(nèi)的個人資料。
根據(jù)光雅及愛飾提供的資料�,受外洩事件影響的資料當事人約 79,400 名,包括光雅的公司客戶�����、現(xiàn)職及離職員工����,以及愛飾的店舖客戶、現(xiàn)職及離職員工的個人資料�����,涉及的個人資料包括員工姓名、香港身份證號碼����、出生日期、電話號碼��、地址及入職日期���,以及客戶的姓名�����、香港身份證號碼����、出生年份及月份���、電話號碼�、電郵地址及會員編號����。
私隱專員公署就外洩事件共進行了七次查訊,認為光雅及愛飾的以下缺失是導致外洩事件發(fā)生的主因����,包括未有適時刪除離職員工賬戶�����;資訊系統(tǒng)欠缺有效的保安及偵測措施;伺服器的作業(yè)系統(tǒng)已過時��;欠缺資訊保安政策及指引����;及未有對資訊系統(tǒng)進行保安評估及審計。
至於涉及Adastria的資料外洩事故����,調(diào)查源於Adastria於2024年11月18日向私隱專員公署通報資料外洩事故,表示其客戶關(guān)係管理平臺及電子商務(wù)平臺(統(tǒng)稱受影響平臺)遭受未獲授權(quán)的第三方入侵����,導致Adastria客戶的個人資料被竊取(Adastria外洩事件)����。
調(diào)查發(fā)現(xiàn),受影響平臺由第三方供應商(該平臺供應商)提供�����,以軟件即服務(wù)(Software-as-a-Service)方式運作。在Adastria外洩事件當中�,黑客利用一名現(xiàn)職員工的管理員賬戶的賬戶憑證,從一個不明的海外 IP 位址連接至受影響平臺�����,繼而下載儲存於當中的訂單資料����。
Adastria的總公司是一間日本的跨國企業(yè),在多個亞洲國家經(jīng)營服裝零售����。外洩事件合共影響59205名客戶的個人資料,涉及的個人資料包括客戶的姓名�����、電話號碼及訂單資料���,包括交易參考編號����、訂單日期、會員號碼�����、送貨方式�、送貨╱取貨日期、送貨地址��、產(chǎn)品名稱與描述�,以及價格資料�����。
在調(diào)查過程中����,Adastria發(fā)現(xiàn)受影響的個人資料於外洩事件發(fā)生約兩個月後在「暗網(wǎng)」公開,並可供下載����。
私隱專員公署就Adastria外洩事件共進行了五次查訊,認為Adastria的以下缺失是導致外洩事件發(fā)生的主因�����,包括薄弱的密碼管理;未有為存取賬戶啟用多重認證功能�����;缺乏保障個人資料的意識���;及未有對受影響平臺進行適當?shù)谋0矙z視��。
頂圖:私隱專員鍾麗玲發(fā)表調(diào)查報告��。大會供圖
