俊思泄12.7万人资料 4缺失裁违私隐例
发布 : 2025-4-01 来源 : 明报新闻网 用微信扫描二维码,分享至好友和朋友圈 | 加关注  明声网温哥华 微信公众号 |
【明报专讯】管理旗下合作品牌ICARD及Brooks Brothers会员计划的俊思管理集团有限公司,去年5月向私隐专员公署通报资料外泄,涉及12.7万人个人资料。公署昨公布调查结果称俊思有4项缺失导致事故,包括未在修复系统故障后适时删除临时帐户,裁定违反《私隐条例》。公署上周五向俊思送达执行通知,指示采取措施纠正违规事项,包括要求全面审视客户帐户,确保已删除所有无需要帐户等,限俊思两个月内完成。
黑客入侵临时帐户 利用漏洞攻伺服器
事故中俊思4台伺服器及5个系统帐户被入侵,约68GB的资料从俊思的网络外泄,涉及其营运的两个会员计划,共影响12.7万人的个人资料,包括10万名ICARD会员、2.7万名Brooks Brothers会员、14名俊思现职及前雇员等;涉及的个人资料包括会员姓名、电邮、电话、出生月份、性别及国籍,以及雇员护照副本等。
公署调查发现,去年5月4日,黑客入侵俊思同年4月24日在防火墙设立的临时用户帐户,相关帐户是为供应商作系统紧急远端支援用途而设。黑客利用相关帐户取得进入俊思网络访问权限,利用一个应用程式伺服器上已终止支援的操作系统的保安漏洞,入侵网域控制器及其他载有个人资料的伺服器。
锺丽玲:及时删帐停用旧系统 事故可免
公署首席个人资料主任(合规及查询)郭正熙称,公署曾6次查讯并审视俊思提供的资料,认为有四大主因导致事故,包括俊思未在修复系统故障后适时删除临时帐户、使用已终止支援的操作系统、资讯系统欠缺有效侦测措施,以及对资讯系统的保安风险评估及审计不足。
私隐专员锺丽玲称,俊思是一间具规模的国际时装及美容品牌管理及分销公司,持有及处理大量客户及雇员资料,调查却发现事件是人为疏忽及欠缺足够保安措施引致,若俊思事前及时删除相关帐户及停止使用已终止支援的操作系统,事故相当有可能避免。
黑客入侵临时帐户 利用漏洞攻伺服器
事故中俊思4台伺服器及5个系统帐户被入侵,约68GB的资料从俊思的网络外泄,涉及其营运的两个会员计划,共影响12.7万人的个人资料,包括10万名ICARD会员、2.7万名Brooks Brothers会员、14名俊思现职及前雇员等;涉及的个人资料包括会员姓名、电邮、电话、出生月份、性别及国籍,以及雇员护照副本等。
公署调查发现,去年5月4日,黑客入侵俊思同年4月24日在防火墙设立的临时用户帐户,相关帐户是为供应商作系统紧急远端支援用途而设。黑客利用相关帐户取得进入俊思网络访问权限,利用一个应用程式伺服器上已终止支援的操作系统的保安漏洞,入侵网域控制器及其他载有个人资料的伺服器。
锺丽玲:及时删帐停用旧系统 事故可免
公署首席个人资料主任(合规及查询)郭正熙称,公署曾6次查讯并审视俊思提供的资料,认为有四大主因导致事故,包括俊思未在修复系统故障后适时删除临时帐户、使用已终止支援的操作系统、资讯系统欠缺有效侦测措施,以及对资讯系统的保安风险评估及审计不足。
私隐专员锺丽玲称,俊思是一间具规模的国际时装及美容品牌管理及分销公司,持有及处理大量客户及雇员资料,调查却发现事件是人为疏忽及欠缺足够保安措施引致,若俊思事前及时删除相关帐户及停止使用已终止支援的操作系统,事故相当有可能避免。