日企Adastria洩5.9萬客個資遭放暗網兜售
發佈時間:03:00 2025-08-22 HKT
再有大型企業遭黑客入侵,合計造成約14萬人資料外洩,包括電話號碼等。個人資料私隱專員公署昨公布,涉事的日本跨國時裝企業Adastria職員長達兩年未有修改管理員帳戶密碼,且未啟用多項保安功能,致黑客有可乘之機,攻入系統竊取約5.9萬名客戶資料,部分資料更已被放上暗網出售。另外,經營連鎖珠寶店My Jewelry的「光雅珠寶貿易有限公司」和「愛飾管理有限公司」的系統,亦遭黑客「暴力攻擊」入侵,外洩約7.9萬名客戶及職員資料。公署批評,部分資料外洩事件是「相當有機會可以避免」,亦裁定三間公司均違反《私隱條例》相關規定。
個人資料私隱專員鍾麗玲指,上述兩宗事故均在去年發生。當中Adastria本身透過網上平台「dot st HK」,管理旗下多個服裝品牌,包括「GLOBAL WORK」、「niko and …」、「LOWRYS FARM」、「Heather」等的銷售資料。但Adastria在去年十月下旬遭黑客入侵其客戶關係管理平台及電子商務平台,包括「dot st HK」,造成客戶的姓名、電話號碼、定單等個人資料外洩,且部分資料在事件發生後約兩個月,更已被送上暗網出售;但公署暫未接獲相關查詢或求助。
密碼僅六位數 無用多重認證
調查發現,涉事平台本身由第三方供應商提供,並以「軟件即服務」方式運作。而黑客是通過利用一名現職員工的管理員帳戶憑證,從一個不明的海外IP地址連接至受影響平台,並下載當中的定單資料。鍾麗玲批評,Adastria的密碼管理薄弱,「所有帳戶,包括涉事的管理員帳戶密碼只是六位數字的簡單組合,且事發前兩年都未曾更改過」。另外,第三方供應商本身有提供多項保安功能,包括密碼自動過期設定等,惟Adastria竟然未啟用,包括未為存取帳戶啟用多重認證功能。鍾直言:「該公司持有那麼多客戶資料,亦非沒有資源。我們覺得主要問題是防範意識不足,採用一個高強度密碼,完全不涉及任何資源投入」。
My Jewelry亦中招影響7.5萬客戶
至於光雅及愛飾的資料外洩事件,則涉及其共同管理和使用的資訊系統,包括伺服器、應用程式及資料庫。公署在去年11月接獲相關公司通報,調查發現黑客透過「暴力攻擊」取得一個具系統管理員權限的帳戶,該帳戶屬於已離職員工,事發時已閒置逾13年,且未有啟用多重認證及帳戶鎖定功能,結果令黑客有機可乘,在取得進入光雅及愛飾資訊系統的訪問權限後,在系統內進行橫向移動,包括在一台電腦注入木馬程式,取得能操控資料庫伺服器的原始程式碼,並成功盜取及刪除儲存在內的個人資料,受影響人士包括逾7.5萬人愛飾店舖客戶,其餘包括光雅的公司客戶、現職及離職員工。
鍾麗玲指,明白企業需處理遣散費等問題,不能即時刪除離職員工資料,但「如你根本不需要使用,就需要刪除」。故最終裁定上述三間公司均違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已向他們送達執行通知。
