遭黑客入侵洩逾12萬人個資 俊思違私隱例
香港文匯報訊(記者 張弦)連卡佛旗下的俊思集團去年遭受黑客入侵勒索,導致逾12萬人、約68GB資料外洩,涉姓名、電郵、電話、護照副本等。私隱專員公署昨日公布事故調查詳情,認為四大主因導致事故發生,包括俊思未有在修復系統故障後適時刪除臨時賬戶、使用已被終止支援的操作系統、資訊系統欠缺有效的偵測措施,及對資訊系統進行的保安風險評估及審計不足,裁定其違反《私隱條例》相關規定,已向俊思送達執行通知,指示其糾正違規事項。
私隱專員公署表示,俊思在去年5月31日向公署通報資料外洩事故。該公司於去年5月15日收到黑客勒索信息,聲稱竊取其資料並威脅出售相關資料。調查發現,黑客在設立相關賬戶的10天後入侵,相關賬戶是為供應商作系統緊急遠端支援用途所設立,黑客利用相關賬戶取得進入俊思網絡的訪問權限,之後在俊思的網絡進行橫向移動,並利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞,進一步入侵網域控制器及其他伺服器。
事件牽涉俊思營運的兩個會員計劃:ICARD會員計劃及Brooks Brothers會員計劃,合共影響127,268人的個人資料,包括多名ICARD會員和Brooks Brothers會員,以及部分現職僱員及前僱員等,共四台伺服器及五個系統賬戶被入侵,約68GB資料外洩。
修復系統故障後未適時刪除相關賬戶
公署認為,有四大主因導致事件發生。其中,俊思未適時刪除臨時賬戶方面,雖然該公司知悉長期維持供遠端存取的賬戶存在被入侵的風險,但員工疏忽,未有在修復系統故障後適時刪除相關賬戶,最終導致黑客入侵。
公署裁定俊思沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障,違反《私隱條例》相關規定,於上周五(28日)向俊思送達執行通知,指示其全面審查轄下服務器,查看是否仍使用不再受支持的軟件服務器等。
公署表示,俊思事後已通知所有受影響者,並進行暗網監控及設立特定電郵地址,以處理相關會員查詢;亦已刪除相關被入侵的賬戶、更換已終止支援的應用程式伺服器,以及安裝端點偵測及回應方案,以進行即時偵測及分析。
私隱專員鍾麗玲總結,事件由於人為疏忽,及欠缺足夠的保安措施保障資訊系統所引致,「假如俊思事發前及時刪除相關賬戶,及停止使用已終止支援的操作系統,今次資料外洩事件是相當有機會可以避免。」她提醒所有持有個人資料的機構防患未然,採取適當措施加強資訊系統保安以抵禦惡意攻擊,定期檢視賬戶權限及刪除不必要賬戶;停止使用已被終止支援的軟件,或適時更新軟件;實施有效措施以預防、偵測及應對網絡攻擊等。
