【大紀元2025年04月01日訊】(大紀元記者葉澤宇香港報導)俊思管理有限公司去年5月中收到黑客的勒索訊息,聲稱盜竊了俊思的資料並威脅出售。個人資料私隱專員公署(31日)公布調查結果,指有約68GB資料外洩,影響近13萬人。由於俊思未有適時刪除臨時帳戶、使用已被終止支援的操作系統等因素導致資料外洩事件。
私隱專員公署表示,調查發現黑客於去年5月4日入侵一個俊思於同年4月24日在防火牆設立的臨時用戶帳戶,該帳戶為讓供應商作系統緊急遠端支援。黑客利用相關帳戶取得進入俊思網絡的訪問權限。
黑客其後利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞,進一步入侵網域控制器及其它載有個人資料的伺服器。調查顯示,外洩事件俊思共4台伺服器及6個系統帳戶被入侵,約68GB的資料從俊思的網絡外洩。
外洩事件牽涉俊思營運的兩個會員計劃,分別是ICARD會員計劃及Brooks Brothers會員計劃。共有127,268名人士的個人資料遭外洩,包括100,185名ICARD會員、27,069名Brooks Brothers會員、14名俊思現職僱員及前僱員等。涉及的個人資料包括會員的姓名、電郵地址、電話號碼、出生月份、性別及國籍,以及僱員的護照副本等。
俊思已通知所有受影響的資料當事人,並採取一系列的補救措施以提升系統安全,包括刪除相關被入侵的帳戶、更換已終止支援的應用程式伺服器,以及安裝端點偵測及回應方案以進行即時偵測及分析。
私隱專員分析,導致外洩事件發生有4項主因,包括俊思未有在修復系統故障後適時刪除臨時帳戶;使用已被終止支援的操作系統;資訊系統欠缺有效的偵測措施;及對資訊系統進行的保安風險評估及審計不足。私隱專員又認為,假如俊思於事發前及時刪除相關帳戶及停止使用已終止支援的操作系統,是次資料外洩事件是相當有機會可以避免的。
私隱專員裁定俊思沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定。私隱專員已向俊思送達執行通知,指示其採取措施以糾正違規事項。@
責任編輯:陳真
