一名宠物美容公司前员工利用现职员工的帐户存取网上零售系统 — 保障资料第4原则 — 个人资料的保安
背景
一间宠物美容公司(该公司)向私隐专员公署通报,指一名前员工多次利用其他现职员工的帐户,登入载有过千名客户个人资料的网上零售系统(该系统),并向有关客户发出讯息,邀请他们光顾另一间宠物美容公司。涉及的个人资料包括姓名、香港身份证号码、出生日期、电邮地址、电话号码、雇佣资料及社交媒体帐户资料。
该事件源于该公司在设立员工帐户时,以员工的电话号码预设为帐户密码,并仅以口头方式提醒员工须在首次登入帐户后自行更改密码。由于该前员工知悉该公司的密码管理模式,故在离职后仍能利用其他员工的帐户密码(亦即员工的电话号码)遥距登入该系统。
补救措施
收到该公司的通报后,私隐专员公署展开循规审查,并就《私隐条例》的相关规定向该公司提供建议。为避免类似事件再次发生,该公司已更改所有员工的帐户密码,而所有员工须每半年在主管见证下更改密码。此外,该公司将新员工帐户的预设密码改为由八位英文字母及数字随机组成的密码,亦禁止了该系统的遥距存取功能。
借鉴
在密码管理方面,机构应避免以员工的个人资料(如姓名、出生日期、电话号码等)作为预设密码,并应实施有效措施以管理用户密码,包括强制密码长度和复杂性、密码历史纪录,并确保用户遵循关于密码保安的最佳行事方式。机构亦应考虑制定帐户锁定阈值策略来限制资讯及通讯系统允许登入失败的次数,并在达到次数上限时封锁帐户一段特定的时间。
上载日期:2025年10月