洩12萬會員個資 俊思違私隱例
修復故障未刪臨時賬戶遭入侵 公署批人為疏忽指示糾正
連卡佛旗下俊思集團去年遭黑客入侵勒索,致逾12萬人約68GB涉姓名、電郵、電話及護照副本等資料外洩。私隱署昨公布事故調查詳情,認為四大主因導致事故發生,包括俊思未有在修復系統故障後適時刪除臨時賬戶、使用被終止支援的操作系統、資訊系統欠缺有效偵測措施,及對資訊系統保安風險評估和審計不足,裁定違反《私隱條例》規定,已向俊思送達執行通知,指示糾正違規事項。
私隱署表示,俊思去年5月31日通報資料外洩事故,指去年5月15日收到黑客勒索訊息,聲稱竊取其資料並威脅出售。調查發現黑客在設立相關賬戶10天後入侵,該賬戶是為供應商作系統緊急遠端支援用途而設立,黑客藉此取得訪問俊思網絡權限,再進行橫向移動,利用應用程式伺服器上已終止支援的操作系統的保安漏洞,入侵網域控制器及其他伺服器。
事件牽涉俊思的ICARD會員計劃及Brooks Brothers會員計劃,共影響127,268人的個資,包括會員及部分現職及前僱員等,共4台伺服器及5個系統賬戶被入侵,約68GB資料外洩。
公署認為有四大主因導致事件發生。其中未適時刪除臨時賬戶方面,雖然俊思知悉長期維持供遠端存取賬戶存在被入侵風險,但員工疏忽,未在修復系統故障後適時刪除賬戶,終致黑客入侵。
提醒機構停用被終止支援軟件
公署裁定俊思沒採取所有切實可行步驟,確保涉事個資受保障,違反《私隱條例》規定,上周五(28日)向俊思送達執行通知,指示全面審查轄下服務器,查看是否仍使用不再受支援的軟件服務器等。公署指俊思事後已通知所有受影響者,並進行暗網監控及設立特定電郵地址,處理相關會員查詢;亦已刪除被入侵賬戶、更換已終止支援應用程式伺服器等。
私隱專員鍾麗玲提醒所有持有個人資料機構防患未然,採取適當措施加強資訊系統保安抵禦惡意攻擊,包括定期檢視賬戶權限及刪除不必要賬戶;停止使用已被終止支援軟件並適時更新等。
