管理多個服裝和奢侈品牌的俊思集團(Imaginex Group),去年5月發生超過12.7萬會員及14名現職或前僱員的個人資料外洩事件,個人資料私隱專員公署調查後,周一(31日)裁定集團因4項缺失導致事件,包括未有適時刪除臨時帳戶、使用已被終止支援的操作系統等,裁定俊思違反《私隱條例》,已指示集團採取措施糾正違規事項,防止類似違規情況再發生。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
俊思集團是連卡佛載思集團(The Lane Crawford Joyce Group)旗下的品牌管理及分銷公司,在中國大陸管理與分銷Gucci、Prada、Cartier及Salvatore Ferragamo等奢侈品牌。外洩事件涉及俊思營運的會員計劃「ICARD」及「Brooks Brothers」,當中ICARD涵蓋Birkenstock、Paul Smith、Club Monaco及Apivita等7個品牌。而外洩的資料涉及超過10萬名ICARD會員、2.7萬名Brooks Brother會員及14名現職或前僱員的姓名、電話號碼、電郵地址、出生月份、性別及國籍,以及僱員護照副本等,目前未有發現資料在暗網被加密或出售。
公署指,經調查發現,黑客去年5月4日入侵俊思一個去年4月24日在防火牆設立的臨時用戶帳戶,該帳戶原本是供應商用於系統緊急遠端支援,惟黑客得以藉該帳戶進入俊思網絡的訪問權限,並利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞,進一步入侵網域控制器及其他載有個人資料的伺服器,前後共有4台伺服器及5個系統帳戶被入侵,導致共約68GB的資料外泄。
公署首席個人資料主任(合規及查詢)郭正熙表示,經調查後認為4大主因導致外洩事件發生,包括未有在修復系統故障後適時刪除臨時帳戶。他認為俊思知悉長期維持供遠端存取的帳戶存在被未獲授權的第三方入侵網絡的風險,惟員工仍未有在修復系統故障後適時刪除相關帳戶,最終容許黑客入侵俊思網絡。
另外,雖然有關應用程式伺服器的操作系統自2020年12月起不再獲安全更新,公司卻基於資源考慮,計劃去年底之前才更換相關伺服器,等同令相關伺服器暴露在風險中逾3年,亦讓黑客得以利用保安漏洞入侵俊思網絡。翻查資料,涉事的操作系統可能是Windows 10 v1903版本,微軟網頁顯示它將在2020年12月8日起不再獲得安全更新。
此外,公司對資訊系統欠缺有效的偵測措施,以及對資訊系統進行的保安風險評估及審計不足,都是導致事件的成因,郭正熙認為事件明顯是由於人為疏忽及欠缺足夠的保安措施,保障其資訊系統所致。
私隱專員鍾麗玲補充,若俊思能及時刪除涉事帳戶、並停止使用已終止支援的操作系統,是次外泄事件相當有機會可避免,裁定俊思違反《私隱條例》相關規定,公署已於上周五(28日)向俊思送達執行通知,指示其於2個月內糾正違規事項,包括全面審視客戶帳戶,確保已刪除所有無需要的帳戶等
