俊思约68GB资料外泄影响近13万人 未适时删除临时账户肇祸

【大纪元2025年04月01日讯】（大纪元记者叶泽宇香港报导）俊思管理有限公司去年5月中收到黑客的勒索讯息，声称盗窃了俊思的资料并威胁出售。个人资料私隐专员公署（31日）公布调查结果，指有约68GB资料外泄，影响近13万人。由于俊思未有适时删除临时账户、使用已被终止支援的操作系统等因素导致资料外泄事件。

私隐专员公署表示，调查发现黑客于去年5月4日入侵一个俊思于同年4月24日在防火墙设立的临时用户账户，该账户为让供应商作系统紧急远端支援。黑客利用相关账户取得进入俊思网络的访问权限。

黑客其后利用一个应用程式服务器上已终止支援的操作系统的保安漏洞，进一步入侵网域控制器及其它载有个人资料的服务器。调查显示，外泄事件俊思共4台服务器及6个系统账户被入侵，约68GB的资料从俊思的网络外泄。

外泄事件牵涉俊思营运的两个会员计划，分别是ICARD会员计划及Brooks Brothers会员计划。共有127,268名人士的个人资料遭外泄，包括100,185名ICARD会员、27,069名Brooks Brothers会员、14名俊思现职雇员及前雇员等。涉及的个人资料包括会员的姓名、电邮地址、电话号码、出生月份、性别及国籍，以及雇员的护照副本等。

俊思已通知所有受影响的资料当事人，并采取一系列的补救措施以提升系统安全，包括删除相关被入侵的账户、更换已终止支援的应用程式服务器，以及安装端点侦测及回应方案以进行即时侦测及分析。

私隐专员分析，导致外泄事件发生有4项主因，包括俊思未有在修复系统故障后适时删除临时账户；使用已被终止支援的操作系统；资讯系统欠缺有效的侦测措施；及对资讯系统进行的保安风险评估及审计不足。私隐专员又认为，假如俊思于事发前及时删除相关账户及停止使用已终止支援的操作系统，是次资料外泄事件是相当有机会可以避免的。

私隐专员裁定俊思没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，因而违反了《私隐条例》的保障资料第4（1）原则有关个人资料保安的规定。私隐专员已向俊思送达执行通知，指示其采取措施以纠正违规事项。@

责任编辑：陈真