GLOBAL WORK、niko and...日本母企泄6万客资料　暗网公开任下载

个人资料私隐专员钟丽玲今日（21日）举行记者会，发表两份资料外泄事故调查报告。其中跨国时装品牌Adastria的客户关系管理平台及电子商务平台，去年10月下旬遭黑客入侵，逾5.9万人资料外泄，并遭黑客在暗网上公开及予人下载，部分被用作进行诈骗。公署批评缺失多，又形容原本可以避免。

另外，光雅珠宝贸易有限公司（光雅）及爱饰管理有限公司（爱饰）亦在去年发生资料外泄事故，逾7.9万客户、现职及已离职员工的个人资料被黑客盗取及删除。钟丽玲表示，对两宗事故同感遗憾，裁定涉事公司违反《私隐条例》的保障资料第4（1）原则有关个人资料保安的规定，已发出通知要求他们采取措施纠正违规事项，并防止类似违规情况再次发生。

Adastria总公司是日本跨国企业，业务范围包括日本、中国、香港及泰国等地，事故发生时透过网上平台“dotstHK”管理“niko and…”、“GLOBAL WORK”及“Heather”等多个服装品牌。私隐专员公署表示，去年11月18日接获通报资料外泄事故，指其客户关系管理平台及电子商务平台被未获授权的第三方入侵，59,205名客户的个人资料被窃取，包括客户姓名、电话号码与订单资料等。

黑客从不明海外IP入侵　客户资料被上传暗网公开下载

Adastria指，事故发生于去年10月下旬，至11月初收到4位客户投诉，指收到其员工的可疑来电，表示货品有存在品质问题，需安排退款等，又向客户索取银行帐号等资料。客户起疑后向公司投诉，因而揭发事件。

据公署调查发现，受影响平台由第三方供应商提供，以“软件即服务（SAAS）”方式运作。公署指，黑客利用一名现职员工的管理员帐户凭证，从一个不明海外IP位址连接至受影响平台，下载储存于当中的订单资料。公署就事件向Adastria进行了5次查询，又取阅了第三方顾问的两份报告，确认有关个人资料被不法之徒用来作诈骗，并在暗网公开及供下载。

公署指Adastria有以下缺失，包括薄弱的密码管理，涉事受影响平台密码要求只是6位数简单组合，而且2年来从未更改。而且服务供应商有提供很多密码管理措拖，如密码字数要求，定时更改密码等可以实施，但Adastria均没有启用；没有启用多重认证功能；缺乏保障个人资料意识，以及从服务使用者角度，对受影响平台进行保安检视等。公署认为，Adastria如有启用服务供应商提供的工具，其实可以避免今次事故。

光雅珠宝去年11月亦遭入侵　离职员工帐户闲置13年成缺口

光雅珠宝贸易有限公司（光雅）及爱饰管理有限公司（爱饰）去年亦发生资料外泄事故，爱饰母公司为光雅，两间公司共同使用及管理同一伺服器及资料系统，包括应用程式及资料库等。去年11月11日，他们向公署通报有资料外泄事故，及后确认其系统受黑客入侵，约79,400人资料外泄，包括光雅的公司客户、现职及离职员工；以及爱饰的店舖客户、现职及离职员工的个人资料。涉及资料包括员工及客户的姓名、香港身份证号码、出生日期、电话号码及地址等。当中受影响客户超过7.5万名。

公署调查发现，黑客是透过“暴力攻击”去取得有凭证的帐户，即透过电脑程式生成大量凭程以强行尝试登入有关帐户，而该帐户属静止帐户，已闲置超过13年，钟丽玲认为保留该帐户并不合理“点解一个冇用嘅帐户可以留咁耐”。公署又指，黑客成功入侵后，便进行横向移动，并注入木马程式，获取系统原始程式码，然后盗取伺服器内的个人资料，事故属典型的黑客攻击事故。

公署认为光雅及爱饰同有以下缺失，包括未有即时删除离职员工帐户，没有为帐户开启多重认证；欠有效保安及侦测措拖，防火墙软件及防毒软件过时；没有设定有效或实时监测的措拖；欠缺资讯保安政策及指引，没有任何书面政策，未有资料保安事故应变计划，以及未有保安评估及审计。

钟丽玲表示，对两宗事故同感遗憾，裁定涉事公司同违反《私隐条例》的保障资料第4（1）原则有关个人资料保安的规定，已发出通知要求他们采取措施纠正违规事项，并防止类似违规情况再次发生。