俊思网安大穿窿 泄12万人资料
发布时间:03:00 2025-04-01 HKT
有品牌管理及分销公司营运的两个会员计划,涉遭黑客窃取资料,影响高达12.7万人,包括会员、机构职员及前雇员等。个人资料私隐专员钟丽玲指,涉事公司在去年5月底通报,指在同年5月中收到黑客勒索讯息,声称窃取并威胁出售相关个人资料,包括姓名、电邮地址、电话号码、护照副本等。个人资料私隐专员公署经调查后,认为外泄事件是由于人为疏忽,以及欠缺足够的保安措施保障资讯系统引致,故裁定涉事公司违反《私隐条例》。
涉事的「俊思管理有限公司」(俊思)为国际时装及美容品牌提供服务,并为其旗下的合作品牌管理会员计划。公署指,在去年5月31日接获俊思通报,称在同月15日收到黑客勒索,经调查后发现,原来黑客在同月4日入侵俊思的临时用户帐户。相关帐户在去年4月24日于防火墙设立,目的是为让供应商作系统紧急远端支援,而黑客通过帐户取得进入俊思网络的访问权限,取得权限后更作横向移动,利用一个应用程式伺服器上已终止支援的操作系统的保安漏洞,进一步入侵网域控制器,以及其他载有个人资料的伺服器,合计有4台伺服器及5个系统帐户在事件中被入侵,结果造成约68GB的资料从俊思网络外泄。
钟丽玲指,今次外泄事件合共影响12万7268人的个人资料,涉及2个会员计划,包括「ICARD 会员」下的10万185人,及「Brooks Brothers 会员」下的27069人,涉及的个人资料包括会员的姓名、电邮地址、电话号码、出生月份、性别及国籍等。同时,有14名俊思现职雇员及前雇员的资料外泄,包括其护照副本等。而俊思在外泄事件发生后已通知所有受影响人士,并提供支援,包括进行暗网监控及设立特定电邮地址以处理相关查询。
无删临时帐户及已停用系统
钟丽玲续指,公署就外泄事件共进行6次查讯,并审视俊思的调查报告等资料,最终认为事件是由于人为疏忽,及欠缺足够的保安措施保障资讯系统造成,「若俊思在事发前及时删除相关帐户及停止使用已终止支援的操作系统,外泄事件相当有机会可以避免」。故裁定俊思没有采取所有切实可行的步骤,以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反《私隐条例》,已向俊思送达执行通知,指示采取措施以纠正违规事项,以及防止类似违规情况再次发生。
俊思回复《星岛》指,集团非常重视网络安全,亦感谢个人资料私隐专员公署在调查结果报告中的建议,又透露在过去9个月已实施多项措施加强系统,并将执行调查结果中规定的其他需要改进的领域措施,以防止将来发生类似事件,并会继续采取必要措施,保护集团免受任何未来的攻击。
