日企Adastria 5.9万客户个资被窃 管理多间服装品牌 私隐公署:事故相当有机会避免
发布时间:11:18 2025-08-21 HKT
个人资料私隐专员公署今日公布,去年跨国时装品牌Adastria客户关系管理平台及电子商务平台遭入侵,导致5.9万人资料外泄的调查结果。公署指,受影响个人资料于外泄事件发生约两个月后在「暗网」公开并可供下载,暂未接获相关查询或求助。公署认为,事故相当有机会避免,而Adastria有密码管理薄弱、未有为存取帐户启用多重认证功能等多个缺失,私隐专员对其资料保安意识不足及欠缺适当措施以保障所持有的个人资料,表示遗憾。
Adastria逾5.9万客户个资被窃取
Adastria总公司是日本跨国企业,外泄事件发生时透过网上平台「dot st HK」管理niko and …、GLOBALWORK、Heather等多个服装品牌在本港的销售。个人资料私隐专员钟丽玲表示,Adastria去年10月下旬遭黑客入侵客户关系管理平台及电子商务平台,「dot st HK」亦受影响,遭盗取59205名本港客户的个人资料,包括客户姓名、电话号码及订单资料。
调查发现,受影响平台由第三方供应商提供,以「软件即服务」方式运作,黑客利用一名现职员工的管理员帐户的帐户凭证,从一个不明海外 IP位址连接至受影响平台,继而下载储存于当中的订单资料。Adastria所有受影响平台的用户密码,只是六位数字简单组合,当中包括涉事的管理员帐户。
Adastria密码管理薄弱
钟丽玲指,Adastria受影响平台的供应商,有提供多项保安功能(包括密码最短长度及复杂程度、密码自动过期设定等),惟Adastria即使作为跨国公司,也未启用这些功能,「持有的客户资料这么多,也不是没有资源,我们觉得主要来讲是意识不足。用一个高强度的密码,不是用一个很简单六个字的密码,这完全不涉及任何资源投入。」她形容,个人资料在数码时代「有市有价」,吁中小企保护所持有的个人资料,投放足够资源提升资讯安全。
私隐专员裁定, Adastria违反《私隐条例》的保障资料第4(1)原则有关个人资料保安的规定,已向Adastria送达执行通知,指示其采取措施以纠正违规事项,防止类似违规情况再次发生。
光雅珠宝及爱饰管理有限公司 逾7.9万客户、员工等资料外泄
另外,公署公布去年光雅珠宝贸易有限公司(光雅)及爱饰管理有限公司(爱饰)外泄事故的调查结果。光雅及爱饰共同管理及使用受外泄事件影响的资讯系统,包括伺服器、应用程式及资料库,事故于去年11月11日通报,约79,400人资料外泄,当中逾75,000人属爱饰的店铺客户,其余包括光雅的公司客户、现职及离职员工。事故外泄资料包括员工姓名、香港身份证号码、出生日期、电话号码、地址及入职日期;以及客户姓名、香港身份证号码(首四位数字或英文字母)、出生年份及月份、电话号码、电邮地址及会员编号。
钟丽玲提到,调查发现黑客透过暴力攻击,取得一个闲置逾13年,未启用多重认证及帐户锁定功能,但具系统管理员权限离职帐户的帐户凭证。黑客取得进入光雅及爱饰资讯系统的访问权限后,于资讯系统进行横向移动,包括于一台用于内部系统开发及编程的桌上电脑注入木马程式,继而获取能操控资料库伺服器的原始程式码,并成功盗取及删除储存在内的个人资料。
光雅及爱饰未适时删除离职员工帐户
就离职员工资料的保存,她指明白企业要处理遣散费等问题,不能即时删除离职员工资料,而《私隐条例》一般规定资料保留时间,不应超过达致原来目的实际所需的时间,「即是如果你根本都不需要使用这些资料,就需要删除这些资料。」
首席个人资料主任(合规及查询)郭正熙补充,光雅及爱饰配置的防火墙、防毒软件及资料库伺服器均过时,「伺服器作业系统供应商在2020年时已终止支援,即已超过4年。」
私隐专员认为,光雅及爱饰未有适时删除离职员工帐户;资讯系统欠缺有效保安及侦测措施;伺服器作业系统过时;欠缺资讯保安政策及指引;及未有对资讯系统进行保安评估及审计。裁定光雅及爱饰违反《私隐条例》的保障资料第4(1)原则有关个人资料保安的规定,已向光雅及爱饰送达执行通知,指示其采取措施以纠正违规事项,防止类似违规情况再次发生。
记者:萧博禧
摄影记者:刘骏轩
