私隱專員公署今日(21日)宣布對光雅珠寶貿易有限公司(光雅) 及愛飾管理有限公司(愛飾)資料外洩事故的調查結果,約79,400人受影響。公署指兩間公司未有適時刪除離職員工帳戶、伺服器作業系統已過時及欠缺資訊保安政策等,裁定違反《個人資料(私隱)條例》,已要求兩間公司糾正。
光雅及愛飾於去年11月11日向私隱專員公署通報資料外洩事故,表示其共用的資訊系統出現異常,並收到黑客訊息,指儲存於光雅及愛飾資訊系統內的資料已被盜取,經檢查後確認有關資料已被黑客刪除。
受外洩事件影響的資料當事人約79,400名,包括光雅的公司客戶、現職及離職員工,以及子公司愛飾管理有限公司的店舖客戶、現職及離職員工的個人資料,涉及的個人資料包括員工姓名、香港身份證號碼、出生日期、電話號碼、地址及入職日期,以及客戶的姓名、香港身份證號碼(首四位數字或英文字母)、出生年份及月份、電話號碼、電郵地址及會員編號。
光雅及愛飾於去年11月11日向私隱專員公署通報資料外洩事故,表示其共用的資訊系統出現異常,並收到黑客訊息,指儲存於光雅及愛飾資訊系統內的資料已被盜取,經檢查後確認有關資料已被黑客刪除。
公署調查發現,黑客透過暴力攻擊取得一個具系統管理員權限帳戶的帳戶憑證。黑客利用相關賬戶取得進入光雅及愛飾的資訊系統的訪問權限後,在資訊系統進行橫向移動,包括於一台用於內部系統開發及編程的桌上電腦注入木馬程式,繼而獲取能操控資料庫伺服器的原始程式碼,並成功盜取及刪除儲存在內的個人資料。
光雅及愛飾在外洩事件發生後已採取改善措施提升資訊系統的保安,包括重設所有用戶的登入密碼、更新伺服器作業系統,防毒軟件及防火牆,以及配置「擴展偵測與回應」工具以對資訊系統進行持續的監察等。此外,光雅及愛飾亦在發生外洩事件後通知所有受影響的資料當事人。
經考慮外洩事件的情況及調查所獲得的資料,私隱專員鍾麗玲認為光雅及愛飾存在缺失,導致外洩事件發生,包括未有適時刪除離職員工帳戶;資訊系統欠缺有效的保安及偵測措施;伺服器的作業系統已過時;欠缺資訊保安政策及指引;及未有對資訊系統進行保安評估及審計。
私隱專員裁定光雅及愛飾沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《個人資料(私隱)條例》的保障資料第4(1) 原則有關個人資料保安的規定。
私隱專員已向光雅及愛飾通知,指示其採取措施以糾正違規事項,防止類似違規情況再次發生。@
----------------------
♠️中美關係藏暗湧♦️
1️⃣ 美國境內的秘密戰爭
https://tinyurl.com/bdhrdnt7
2️⃣ 跨國鎮壓技倆一覽
https://tinyurl.com/4xst7r2d
3️⃣ 評論:習近平實權暗地移交 新決策層如何抉擇?
https://tinyurl.com/3c8h2d9n
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
