日企Adastria 5.9萬客戶個資被竊 管理多間服裝品牌 私隱公署:事故相當有機會避免
發佈時間:11:18 2025-08-21 HKT
個人資料私隱專員公署今日公布,去年跨國時裝品牌Adastria客戶關係管理平台及電子商務平台遭入侵,導致5.9萬人資料外洩的調查結果。公署指,受影響個人資料於外洩事件發生約兩個月後在「暗網」公開並可供下載,暫未接獲相關查詢或求助。公署認為,事故相當有機會避免,而Adastria有密碼管理薄弱、未有為存取帳戶啟用多重認證功能等多個缺失,私隱專員對其資料保安意識不足及欠缺適當措施以保障所持有的個人資料,表示遺憾。
Adastria逾5.9萬客戶個資被竊取
Adastria總公司是日本跨國企業,外洩事件發生時透過網上平台「dot st HK」管理niko and …、GLOBALWORK、Heather等多個服裝品牌在本港的銷售。個人資料私隱專員鍾麗玲表示,Adastria去年10月下旬遭黑客入侵客戶關係管理平台及電子商務平台,「dot st HK」亦受影響,遭盜取59205名本港客戶的個人資料,包括客戶姓名、電話號碼及訂單資料。
調查發現,受影響平台由第三方供應商提供,以「軟件即服務」方式運作,黑客利用一名現職員工的管理員帳戶的帳戶憑證,從一個不明海外 IP位址連接至受影響平台,繼而下載儲存於當中的訂單資料。Adastria所有受影響平台的用戶密碼,只是六位數字簡單組合,當中包括涉事的管理員帳戶。
Adastria密碼管理薄弱
鍾麗玲指,Adastria受影響平台的供應商,有提供多項保安功能(包括密碼最短長度及複雜程度、密碼自動過期設定等),惟Adastria即使作為跨國公司,也未啟用這些功能,「持有的客戶資料這麼多,也不是沒有資源,我們覺得主要來講是意識不足。用一個高強度的密碼,不是用一個很簡單六個字的密碼,這完全不涉及任何資源投入。」她形容,個人資料在數碼時代「有市有價」,籲中小企保護所持有的個人資料,投放足夠資源提升資訊安全。
私隱專員裁定, Adastria違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已向Adastria送達執行通知,指示其採取措施以糾正違規事項,防止類似違規情況再次發生。
光雅珠寶及愛飾管理有限公司 逾7.9萬客戶、員工等資料外洩
另外,公署公布去年光雅珠寶貿易有限公司(光雅)及愛飾管理有限公司(愛飾)外洩事故的調查結果。光雅及愛飾共同管理及使用受外洩事件影響的資訊系統,包括伺服器、應用程式及資料庫,事故於去年11月11日通報,約79,400人資料外洩,當中逾75,000人屬愛飾的店鋪客戶,其餘包括光雅的公司客戶、現職及離職員工。事故外洩資料包括員工姓名、香港身份證號碼、出生日期、電話號碼、地址及入職日期;以及客戶姓名、香港身份證號碼(首四位數字或英文字母)、出生年份及月份、電話號碼、電郵地址及會員編號。
鍾麗玲提到,調查發現黑客透過暴力攻擊,取得一個閒置逾13年,未啟用多重認證及帳戶鎖定功能,但具系統管理員權限離職帳戶的帳戶憑證。黑客取得進入光雅及愛飾資訊系統的訪問權限後,於資訊系統進行橫向移動,包括於一台用於內部系統開發及編程的桌上電腦注入木馬程式,繼而獲取能操控資料庫伺服器的原始程式碼,並成功盜取及刪除儲存在內的個人資料。
光雅及愛飾未適時刪除離職員工帳戶
就離職員工資料的保存,她指明白企業要處理遣散費等問題,不能即時刪除離職員工資料,而《私隱條例》一般規定資料保留時間,不應超過達致原來目的實際所需的時間,「即是如果你根本都不需要使用這些資料,就需要刪除這些資料。」
首席個人資料主任(合規及查詢)郭正熙補充,光雅及愛飾配置的防火牆、防毒軟件及資料庫伺服器均過時,「伺服器作業系統供應商在2020年時已終止支援,即已超過4年。」
私隱專員認為,光雅及愛飾未有適時刪除離職員工帳戶;資訊系統欠缺有效保安及偵測措施;伺服器作業系統過時;欠缺資訊保安政策及指引;及未有對資訊系統進行保安評估及審計。裁定光雅及愛飾違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已向光雅及愛飾送達執行通知,指示其採取措施以糾正違規事項,防止類似違規情況再次發生。
記者:蕭博禧
攝影記者:劉駿軒
