連鎖沖印店快圖美的數據庫去年底受勒索軟件攻擊,私隱專員公署發表事件的調查報告,稱共影響超過54萬名快圖美會員,以及逾7萬名曾於2020年11月16日至2021年10月26日,光顧快圖美網上商店的客戶,他們的姓名、電話號碼、出生月份及日子、電郵、聯絡及送貨地址等個人資料被洩漏。

公署調查後,點名快圖美在3方面存在嚴重不足,導致該數據庫在可避免的情況下,被黑客利用保安漏洞入侵系統,並存取個人資料,包括錯誤評估保安漏洞的風險;資訊系統管理有欠妥善;及拖延啟用多重認證功能。

綜合私隱專員調查及快圖美向公署交代,快圖美於2018年3月購買「防火牆」,4月啟用,並在2019年3月啟用SSLVPN,以供資訊科技部門有需要時,遙距登入其系統。2019年「防火牆」生產商在其網站發出保安建議,稱有黑客披露其作業系統的漏洞,攻擊者可以通過相關漏洞,繞過保安限制,直接取得SSLVPN帳戶名稱及密碼,並可於目標系統執行任何程式,亦呼籲用家立即停用SSLVPN功能,直至更新作業系統及重設所有帳戶密碼,同時建議啟用多重認證。

其後政府電腦保安事故協調中心亦就相關漏洞發出高危保安警報,建議機構應立即為受影響的系統安裝修補程式,或應先停用SSLVPN,直到已為受影響的系統進行修補。

私隱專員批心存僥倖 及態度輕率

因應疫情,快圖美曾3度推行在家工作安排,容許員工使用自攜裝置或公司手提電腦,透過SSLVPN連接公司系統。對於在此前未有啟用多重認證功能,快圖美解釋由於每次推行在家工作安排為期不長,經評估後認為當時的保安措施,已經足夠防範網絡攻擊。專員批評快圖美對其資料保安措施抱持過份信心,亦對為期共約3個月的在家工作安排採取輕率的態度。

公署指,快圖美早於2019年9月已經知悉該防火牆存在相關漏洞,但未有採取任何行動,私隱專員認為,快圖美對已知風險抱有過份樂觀甚或僥倖心理,明顯地錯誤評估相關漏洞,對其載有個人資料的資訊系統造成的風險,以及一旦遭黑客入侵可能引致的後果,令人遺憾。

另外,專員認為快圖美未有制訂嚴謹的修補程式管理程序,致快圖美在知悉該防火牆存有保安漏洞的情況下,未有及時修補相關漏洞,使黑客成功入侵,稱快圖美明顯未有承擔作為資料使用者的責任,未有採取所有切實可行的步驟保障該數據庫內的個人資料。

私隱專員指,快圖美沒有採取所有切實可行的步驟,保障個人資料,違反《私隱條例》保障資料第4(1)原則有關個人資料保安的規定,並已向快圖美送達執行通知,包括徹底檢視系統保安、聘請獨立的資料保安專家定期檢視及審核等。

調查報告表示,快圖美其後稱將刪除過去3年沒有進行消費的非活躍用戶的個人資料,並在2020年底停止收集會員的出生日子。

私隱專員又提醒處理顧客個人資料的機構要提高警覺、設立個人資料私隱管理系統,提升資訊系統管理、委任專責人員作為保障資料主任,並定時評估風險,防範黑客攻擊。◇

------------------

📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column