【明報專訊】管理旗下合作品牌ICARD及Brooks Brothers會員計劃的俊思管理集團有限公司,去年5月向私隱專員公署通報資料外泄,涉及12.7萬人個人資料。公署昨公布調查結果稱俊思有4項缺失導致事故,包括未在修復系統故障後適時刪除臨時帳戶,裁定違反《私隱條例》。公署上周五向俊思送達執行通知,指示採取措施糾正違規事項,包括要求全面審視客戶帳戶,確保已刪除所有無需要帳戶等,限俊思兩個月內完成。
黑客入侵臨時帳戶 利用漏洞攻伺服器
事故中俊思4台伺服器及5個系統帳戶被入侵,約68GB的資料從俊思的網絡外泄,涉及其營運的兩個會員計劃,共影響12.7萬人的個人資料,包括10萬名ICARD會員、2.7萬名Brooks Brothers會員、14名俊思現職及前僱員等;涉及的個人資料包括會員姓名、電郵、電話、出生月份、性別及國籍,以及僱員護照副本等。
公署調查發現,去年5月4日,黑客入侵俊思同年4月24日在防火牆設立的臨時用戶帳戶,相關帳戶是為供應商作系統緊急遠端支援用途而設。黑客利用相關帳戶取得進入俊思網絡訪問權限,利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞,入侵網域控制器及其他載有個人資料的伺服器。
鍾麗玲:及時刪帳停用舊系統 事故可免
公署首席個人資料主任(合規及查詢)郭正熙稱,公署曾6次查訊並審視俊思提供的資料,認為有四大主因導致事故,包括俊思未在修復系統故障後適時刪除臨時帳戶、使用已終止支援的操作系統、資訊系統欠缺有效偵測措施,以及對資訊系統的保安風險評估及審計不足。
私隱專員鍾麗玲稱,俊思是一間具規模的國際時裝及美容品牌管理及分銷公司,持有及處理大量客戶及僱員資料,調查卻發現事件是人為疏忽及欠缺足夠保安措施引致,若俊思事前及時刪除相關帳戶及停止使用已終止支援的操作系統,事故相當有可能避免。
