資料外洩|連卡佛旗下俊思集團逾12.7萬會員及員工資料外洩 私隱署指涉員工疏忽
撰文: 吳穎嵛
發布時間: 2025/03/31 12:26
最後更新: 2025/03/31 16:41
▲ 連卡佛旗下俊思集團逾12.7萬會員及員工資料外洩。(俊思集團網站圖片)
私隱專員公署今日(31日)發表俊思管理有限公司資料外洩事故的調查結果。公司於去年5月15日收到黑客的勒索訊息,聲稱竊取其資料並威脅出售相關資料,導致逾12.7萬人資料遭外洩。私隱署指,事發時俊思的伺服器已超過3年沒有更新,亦未有在修復系統故障後適時刪除供遠端存取的帳戶。
調查發現,黑客於去年5月4日入侵一個俊思在防火牆設立的臨時用戶帳戶,黑客利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞,進入侵網域控制器及其他載有個人資料的伺服器。事件導致俊思共4台伺服器及5個系統帳戶被人侵,約68GB 的資料外洩,影響127,268名人士個人資料,包括100,185名ICARD會員、27,069名Brooks Brothers會員及14名俊思現職及前僱員。涉及的個人資料包括會員的姓名、電郵地址、電話號碼、出生月份、性别及國籍,以及僱員的護照副本等。
私隱專員鍾麗玲指,雖然俊思長期維持供遠端存取的帳戶存在被未獲授權的第三方入侵俊思網絡的風險,但由於員工疏忽,俊思未有在修復系統故障後適時刪除相關帳戶,最終導致黑客在設立相關帳戶的10天後利用相關帳戶入侵俊思的網絡。此外,俊思缺乏創建和管理此類臨時帳戶的標準程序,令刪除臨時帳戶與否完全依賴個別員工的做法。
鍾麗玲又指,相關應用程式伺服器的操作系統自2020年12月起不再獲安全更新,惟基於資源考慮,俊思原定在2024年底前才更換相關應用程式伺服器,相關伺服器暴露在風險中超過三年。這導致黑客得以利用相關服器中的保安漏洞入侵俊思的網絡,造成個人資料外洩 。
她續指,俊思只在有需要時才檢查防火牆日誌,以致在收到黑客的勒索訊息前無法偵測到約68GB 的資料從其網絡外洩。俊思亦沒有對載有個人資料的系統的保安狀況進行全面的評估及審計。
私隱署建議,機構應採用「最小權限」的原則及「角色為本」的存取管控機制,定期檢視帳戶權限及刪除不必要的帳戶;並停止使用已被終止支援的軟件,或適時更新軟件。署方亦建議實施有效措施以預防、偵測及應對網絡攻擊,從而減低資料外洩的風險,包括定期進行漏洞掃瞄、以及適時修補保安漏洞。
🎓全新TOPSchool全港中小學校搜尋器,入HKET App即睇!
下載HKET App,追蹤TOPick WhatsApp頻道,睇全方位資訊:
