俊思管理集團有限公司去年5月向私隱專員公署通報資料外泄事故,影響12.7萬名人的個人資料、及14名俊思現職僱員及前僱員等;涉及姓名、電郵地址、電話號碼等、以及僱員的護照副本等。私隱專員鍾麗玲今日(31日)表示,俊思有4項缺失導致外泄事件發生,包括未有在修復系統故障後適時刪除臨時帳戶、使用已被終止支援的操作系統,故裁定俊思違反《私隱條例》,並已向俊思送達執行通知,指示其採取措施糾正違規事項,以及防止類似違規情況再發生。
俊思為一間品牌管理及分銷公司,為國際時裝及美容品牌提供服務,並為其旗下的合作品牌管理會員計劃。事件牽涉俊思營運的兩個會員計劃,共影響12.7萬名人士的個人資料,包括10萬名ICARD會員、2.7萬名Brooks Brothers會員、14名俊思現職僱員及前僱員等;涉及的個人資料包括會員的姓名、電郵地址、電話號碼、出生月份、性别及國籍,以及僱員的護照副本等。
公署調查發現,黑客在去年5月4日入侵一個俊思於去年4月24日在防火牆設立的臨時用戶帳戶,相關帳戶是為供應商作系統緊急遠端支援的用途所設,黑客則利用相關帳戶取得進入俊思網絡的訪問權限,並在俊思的網絡橫向移動,利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞,進一步入侵網域控制器及其他載有個人資料的伺服器。調查顯示,事件導致約68GB的資料從俊思的網絡外泄,並導致俊思共4台伺服器及5個系統帳戶被入侵。
公署首席個人資料主任(合規及查詢)郭正熙指,公署就事件6度查訊,並審視俊思提供的資料,包括俊思委聘的網絡安全專家提供的調查報告,以及俊思就外泄事件的跟進及補救工作。經考慮外泄事件的情況及調查所獲得的資料,公署認為有4大主因導致事件發生,包括俊思未有在修復系統故障後適時刪除臨時帳戶,郭指,雖然俊思知悉長期維持供遠端存取的帳戶存在被未獲授權的第三方入侵俊思網絡的風險,但由於員工疏忽,俊思未有在修復系統故障後適時刪除相關帳戶,最終導致黑客在設立相關帳戶的10天後利用相關帳戶入侵俊思的網絡。
郭正熙續指,儘管俊思知悉相關應用程式伺服器的操作系統自2020年12月起不再獲安全更新,卻基於資源考慮,原定去年底前才更換相關應用程式伺服器,即相關伺服器暴露在風險中逾3年,導致黑客得以利用相關服器中的保安漏洞入侵俊思的網絡,造成個人資料外泄。
鍾麗玲認為,若俊思事發前及時刪除相關帳戶及停止使用已終止支援的操作系統,是次資料外泄事件相當有機會可避免,裁定俊思沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反《私隱條例》保障資料第4(1)原則有關個人資料保安的規定,並已於上周五(28日)向俊思送達執行通知,指示其採取措施以糾正違規事項,包括需全面審視客戶的帳戶,確保已刪除所有無需要的帳戶等;俊思需於2個月完成相關執行通知。