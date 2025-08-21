公署表示，愛飾珠寶及其母公司光雅珠寶於去年向公署通報，表示兩間公司共用的資訊系統受黑客攻擊。公署調查發現，黑客透過暴力攻擊，生成大量憑證，包括帳戶及密碼，惡意撞破公司的資訊管理系統並取得一個已離職13年、原負責程式開發的管理員帳戶權限；其後黑客利用帳戶進入資訊系統及橫向移動，並在一台用於內部開發及編程的電腦注入木馬程式，以獲取可控制系統的原始程式碼，最後成功盜取系統內儲存的個人資料。公署引述該公司回覆指，保留帳號是為支援用途。

受事件影響，共7.94萬名員工或客戶的個人資料被盜取，包括姓名、身分證、電話號碼等。私隱專員鍾麗玲稱，由於兩間公司未有啟用多重認證及帳戶鎖定功能、未有安裝最新版本防火牆及防毒軟件、使用已終止支援的作業系統、未有在系統保安、帳戶管理、密碼要求等制定政策讓員工跟從，以及未有保安事故計劃或通報機制，裁定兩間公司無採取任何切實可行的步驟，確保資料受保障及避免被違法存取。

被盜取資料於黑網出售 不法之徒利用資料詐騙

另一宗事故則涉及跨國零售連鎖店Adastria Asia Company Limited。公署指，該公司於去年通報發生資料外泄事故，黑客利用現職員工的管理員帳戶憑證，從不明海外IP位置連接其客戶關係管理及電子商務平台，導致公司約5.92萬名客戶的個人資料，包括姓名及電話號碼被盜取。公署又說，該公司在被黑客入侵後，先後收到客戶投訴，指有人假扮員工致電，稱他們購買的產品存在問題，遂要求客戶提供銀行及會員資料，以安排退款；其後，公司更發現部分客戶資料公司發現資料在暗網上被公開，並可供下載。

公署介入調查，發現涉事平台由第三方供應商提供，涉事公司未有使用供應商所提供的多重認證功能及密碼管理措施，包括限制密碼長短、複雜程度、自動過期設定等，反而只是要求用戶設定六位數字的簡單組合，令黑客能輕鬆入侵平台。鍾麗玲又指，事件可反映資料外泄與詐騙行為不無關係，呼籲所有公司應將被儲存的資料視為重要資產，投放足夠資源以保障客戶利益。

公署確認三間公司違反《私隱條例》，並送達執行通知，要求採取措施，改善違規事故及避免再次發生。鍾麗玲建議，機構應採取合適的技術性措施，保障資料系統，制定針對資訊系統安全的措施、程序、政策；實施有效措施預防、偵查、應對網絡攻擊。同時停止使用終止支援的軟件、加強密碼管理及採用多重認證功能、進行全方位保安評估及制定應變計劃及提供員工足夠培訓。