去年跨國時裝品牌Adastria客戶關係管理平台及電子商務平台遭受未獲授權的第三方入侵,導致逾5.9萬人資料外洩的調查。個人資料私隱專員公署今日(21日)公布調查結果,透露受影響資料約兩個月後在「暗網」公開,並可供下載。私隱專員鍾麗玲指,假如Adastria於事發前採取合適及足夠的機構性及技術性措施,是次資料外洩事故是相當有機會可以避免。
Adastria在去年11月18日向私隱專員公署通報上述資料外洩事故,涉及59,205名客戶的個人資料,包括客戶的姓名、電話號碼及訂單資料(包括交易參考編號、訂單日期、會員號碼、送貨方式、送貨╱取貨日期、送貨地址、產品名稱與描述,以及價格資料)。
私隱專員公署認為,Adastria的以下缺失是導致外洩事件發生的主因,包括薄弱的密碼管理;未有為存取帳戶啟用多重認證功能;缺乏保障個人資料的意識;未有適當檢視受影響平台的保安。
調查發現,受影響平台由第三方供應商(該平台供應商)提供,以軟件即服務(Software-as-a-Service)方式運作。在Adastria外洩事件當中,黑客利用一名現職員工的管理員帳戶的帳戶憑證,從一個不明的海外IP位址連接至受影響平台,繼而下載儲存於當中的訂單資料。
基於Adastria是一個知名的跨國時裝品牌集團,亦持有大量客戶的個人資料,私隱專員對Adastria的資料保安意識不足及欠缺適當措施以保障所持有的個人資料,表示遺憾。
私隱專員認為,若Adastria事發前採取合適及足夠的機構性及技術性措施,是次資料外洩事故是相當有機會可以避免的。
私隱專員裁定Adastria沒有採取所有切實可行的步驟以確保涉事的個資受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定。
私隱專員已向Adastria送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
Adastria的總公司是一間日本的跨國企業,在多個亞洲國家經營服裝零售。Adastria在外洩事件發生時透過其網上平台「dot st HK」管理旗下品牌(包括GLOBAL WORK,「niko and …」, LOWRYS FARM, Heather, JEANASiS, studio CLIP, repipi armario, LEPSIM, PAGEBOY)在香港的銷售。@
----------------------
♠️中美關係藏暗湧♦️
1️⃣ 美國境內的秘密戰爭
https://tinyurl.com/bdhrdnt7
2️⃣ 跨國鎮壓技倆一覽
https://tinyurl.com/4xst7r2d
3️⃣ 評論:習近平實權暗地移交 新決策層如何抉擇?
https://tinyurl.com/3c8h2d9n
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
