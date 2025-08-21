明報新聞網
即時港聞

三間零售機構遭黑客入侵後共泄逾12萬個人資料　有公司保留離職員工帳戶13年變缺口　私隱公署裁定違例促改善 (13:12)

私隱專員公署今（21日）公布兩宗資料外泄事故調查結果，均涉及零售機構，其中有連鎖珠寶品牌於去年遭黑客入侵公司的資訊系統中一個已離職13年的帳戶，並利用帳戶攻擊，導致逾7.9萬名員工及客戶資料外泄。公署於另一宗事故更發現，有公司只要求會員帳戶設定六位數字的簡單組合密碼，不法之徒其後盜取客戶資料並於暗網（deep web）出售，再利用資料詐騙。

公署表示，愛飾珠寶及其母公司光雅珠寶於去年向公署通報，表示兩間公司共用的資訊系統受黑客攻擊。公署調查發現，黑客透過暴力攻擊，生成大量憑證，包括帳戶及密碼，惡意撞破公司的資訊管理系統並取得一個已離職13年、原負責程式開發的管理員帳戶權限；其後黑客利用帳戶進入資訊系統及橫向移動，並在一台用於內部開發及編程的電腦注入木馬程式，以獲取可控制系統的原始程式碼，最後成功盜取系統內儲存的個人資料。公署引述該公司回覆指，保留帳號是為支援用途。

受事件影響，共7.94萬名員工或客戶的個人資料被盜取，包括姓名、身分證、電話號碼等。私隱專員鍾麗玲稱，由於兩間公司未有啟用多重認證及帳戶鎖定功能、未有安裝最新版本防火牆及防毒軟件、使用已終止支援的作業系統、未有在系統保安、帳戶管理、密碼要求等制定政策讓員工跟從，以及未有保安事故計劃或通報機制，裁定兩間公司無採取任何切實可行的步驟，確保資料受保障及避免被違法存取。

被盜取資料於黑網出售　不法之徒利用資料詐騙

另一宗事故則涉及跨國零售連鎖店Adastria Asia Company Limited。公署指，該公司於去年通報發生資料外泄事故，黑客利用現職員工的管理員帳戶憑證，從不明海外IP位置連接其客戶關係管理及電子商務平台，導致公司約5.92萬名客戶的個人資料，包括姓名及電話號碼被盜取。公署又說，該公司在被黑客入侵後，先後收到客戶投訴，指有人假扮員工致電，稱他們購買的產品存在問題，遂要求客戶提供銀行及會員資料，以安排退款；其後，公司更發現部分客戶資料公司發現資料在暗網上被公開，並可供下載。

公署介入調查，發現涉事平台由第三方供應商提供，涉事公司未有使用供應商所提供的多重認證功能及密碼管理措施，包括限制密碼長短、複雜程度、自動過期設定等，反而只是要求用戶設定六位數字的簡單組合，令黑客能輕鬆入侵平台。鍾麗玲又指，事件可反映資料外泄與詐騙行為不無關係，呼籲所有公司應將被儲存的資料視為重要資產，投放足夠資源以保障客戶利益。

公署確認三間公司違反《私隱條例》，並送達執行通知，要求採取措施，改善違規事故及避免再次發生。鍾麗玲建議，機構應採取合適的技術性措施，保障資料系統，制定針對資訊系統安全的措施、程序、政策；實施有效措施預防、偵查、應對網絡攻擊。同時停止使用終止支援的軟件、加強密碼管理及採用多重認證功能、進行全方位保安評估及制定應變計劃及提供員工足夠培訓。

