個人私隱專員公署昨日(21日)公布兩宗私隱外洩事件。私隱專員鍾麗玲今早(22日)在電台節目表示,公署在去年11月收到兩宗私隱外洩通報,涉及黑客系統入侵,有關公司分別為服裝及珠寶業的零售公司,合計近14萬人的客戶及員工個人資料被黑客盜取,部分資料在暗網公開。她呼籲零售業界要投放足夠資源保護客人資料。
離職13年閒置帳戶被黑客人侵
鍾麗玲表示,珠寶零售公司外洩客人及離職員工資料達8萬人,外洩的資料包括姓名、身份證號碼、出生日期、電話號碼等,鍾麗玲形容個案令人詫異,因為黑客取得帳戶憑證,是透過一個離職13年的閒置帳戶入侵系統,而伺服器系統亦已過期4年,未作更新,公司亦沒有保安政策及指引。她建議商戶應第一時間刪除閒置帳戶。
跨國企業未啟用保安措施
另一個案為日本跨國企業服裝公司,被黑客入侵的是客戶關係管理平台及電子商務平台,逾5萬9千名客戶資料外洩。鍾麗玲稱兩個平台由第三方供應商提供,並已有基本保安措施,但公司在事故發生前,沒有啟用任何保安措施,欠缺保安意識,令人相當遺憾。
鍾麗玲呼籲零售業界要投放足夠資源保護客人資料。劉駿軒攝
日本跨國企業服裝公司,被黑客入侵的客戶關係管理平台及電子商務平台。汪旭峰攝
公司在事故發生前,沒有啟用任何保安措施。汪旭峰攝
黑客對高端的零售商戶,例如售賣珠寶首飾或名牌商品的客人資料有興趣。資料圖片
鍾麗玲形容高端客個人資料「有價有市」。資料圖片
客戶管理系統成黑客攻擊熱點
鍾麗玲又指,公署最近收到幾宗資料外洩事故的通報也是涉及客戶管理系統。這些系統經常被人攻擊是因為當中有大量客戶資料,尤其是一些高端的零售商戶,例如售賣珠寶首飾或名牌商品,這些客戶屬高端客,其個人資料更是「有價有市」。
私隱專員質疑企業為何不投資資訊保安
她續稱,部分個案仍在調查當中,但事件的共通點是遭受黑客攻擊,不是因為個別員工大意「撳錯超連結」,而是黑客就客戶管理系統作針對性攻擊。鍾麗玲說有個案涉及跨國企業,並非不夠資源的中小企,反問跨國企業為何不投放資源在資訊保安。
