日企Adastria泄5.9万客个资遭放暗网兜售
发布时间:03:00 2025-08-22 HKT
再有大型企业遭黑客入侵,合计造成约14万人资料外泄,包括电话号码等。个人资料私隐专员公署昨公布,涉事的日本跨国时装企业Adastria职员长达两年未有修改管理员帐户密码,且未启用多项保安功能,致黑客有可乘之机,攻入系统窃取约5.9万名客户资料,部分资料更已被放上暗网出售。另外,经营连锁珠宝店My Jewelry的「光雅珠宝贸易有限公司」和「爱饰管理有限公司」的系统,亦遭黑客「暴力攻击」入侵,外泄约7.9万名客户及职员资料。公署批评,部分资料外泄事件是「相当有机会可以避免」,亦裁定三间公司均违反《私隐条例》相关规定。
个人资料私隐专员钟丽玲指,上述两宗事故均在去年发生。当中Adastria本身透过网上平台「dot st HK」,管理旗下多个服装品牌,包括「GLOBAL WORK」、「niko and …」、「LOWRYS FARM」、「Heather」等的销售资料。但Adastria在去年十月下旬遭黑客入侵其客户关系管理平台及电子商务平台,包括「dot st HK」,造成客户的姓名、电话号码、定单等个人资料外泄,且部分资料在事件发生后约两个月,更已被送上暗网出售;但公署暂未接获相关查询或求助。
密码仅六位数 无用多重认证
调查发现,涉事平台本身由第三方供应商提供,并以「软件即服务」方式运作。而黑客是通过利用一名现职员工的管理员帐户凭证,从一个不明的海外IP地址连接至受影响平台,并下载当中的定单资料。钟丽玲批评,Adastria的密码管理薄弱,「所有帐户,包括涉事的管理员帐户密码只是六位数字的简单组合,且事发前两年都未曾更改过」。另外,第三方供应商本身有提供多项保安功能,包括密码自动过期设定等,惟Adastria竟然未启用,包括未为存取帐户启用多重认证功能。钟直言:「该公司持有那么多客户资料,亦非没有资源。我们觉得主要问题是防范意识不足,采用一个高强度密码,完全不涉及任何资源投入」。
My Jewelry亦中招影响7.5万客户
至于光雅及爱饰的资料外泄事件,则涉及其共同管理和使用的资讯系统,包括伺服器、应用程式及资料库。公署在去年11月接获相关公司通报,调查发现黑客透过「暴力攻击」取得一个具系统管理员权限的帐户,该帐户属于已离职员工,事发时已闲置逾13年,且未有启用多重认证及帐户锁定功能,结果令黑客有机可乘,在取得进入光雅及爱饰资讯系统的访问权限后,在系统内进行横向移动,包括在一台电脑注入木马程式,取得能操控资料库伺服器的原始程式码,并成功盗取及删除储存在内的个人资料,受影响人士包括逾7.5万人爱饰店舖客户,其余包括光雅的公司客户、现职及离职员工。
钟丽玲指,明白企业需处理遣散费等问题,不能即时删除离职员工资料,但「如你根本不需要使用,就需要删除」。故最终裁定上述三间公司均违反《私隐条例》的保障资料第4(1)原则有关个人资料保安的规定,已向他们送达执行通知。
