私隱署指快圖美早知洩客資料漏洞卻無修補 風險意識不足
2022-11-14 13:46
隨着數碼化的蓬勃發展,大小企業都有可能受到網絡攻擊。快圖美(遠東)有限公司數據庫在2021年10月底遭勒索軟件攻擊及惡意加密,事件影響逾54萬名會員及近7.4萬名曾在網上商店訂購產品或接受服務的客戶。私隱專員公署確認,快圖美早於一年多前已知悉系統保安漏洞,但未有採取任何行動安裝修補程式,以及拖延啟用多重認證功能,反映其風險意識不足。
去年11月1日,公署收到快圖美的資料外洩事故通報,表示網上商店的數據庫於去年10月26日遭勒索軟件攻擊及惡意加密。涉及的資料包括客戶及會員的姓名、性別、出身日子及月份、電話號碼、電郵地址、聯絡地址及送貨地址。
報告指,快圖美於2018年購買防火牆,翌年啟用SSL VPN。其後防火牆生產商曾於其網站發出保安建議,表示留意到有黑客披露其作業系統的漏洞,呼籲用家立即停用SSL VPN功能,直至更新作業系統及重設所有帳戶密碼,同時建議啟用多重認證。
至去年10月26日早上,快圖美的資訊科技部門職員發現網上商店及該數據庫無法正常存取,其後發現除了該數據庫外,部分位於辦公室的伺服器和電腦同樣遭勒索軟件加密。
快圖美向公署承認,2019年9月已知悉相關漏洞,並稱曾與服務供應商透過電話討論,考慮到已設置一系列的資訊保安措施,認為毋需即時安裝修補程式,而因應疫情推行在家工作安排,員工會用VPN遙距存取系統。
公署認為,快圖美沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反《私隱條例》保障資料第4(1)原則有關個人資料保安的規定。
署理首席個人資料主任(合規及查詢)郭正熙強調,網絡世界瞬息萬變,黑客攻擊層出不窮,所有公司在處理系統資訊安全上不能抱有僥倖心態。
兩間公司分別被公署發出執行通知,要求糾正及防止同類行為再發生。私隱專員鍾麗玲指,若然不依從執行通知,將構成刑事罪行,最高可被罰款5萬元及監禁2年。她承認現時條例阻嚇力不足,正審視加大罰則,未來會向政府提交建議。她又稱,除了在接獲投訴後展開調查,公署亦會留意網上及傳媒報道,主動出擊。
記者 黎倩彤
《星島頭條》APP經已推出最新版本,請立即更新,瀏覽更精彩內容:https://bit.ly/3yLrgYZ
最新回應