新聞稿
私隐专员公署发表两份资料外泄事故调查报告(一)光雅珠宝贸易有限公司及爱饰管理有限公司及(二)Adastria Asia Co., Limited
日期: 2025年8月21日
私隐专员公署发表两份资料外洩事故调查报告
私隐专员公署发表两份资料外洩事故调查报告
(一)光雅珠宝贸易有限公司及爱饰管理有限公司
及(二)Adastria Asia Co., Limited
个人资料私隐专员公署(私隐专员公署)完成对光雅珠宝贸易有限公司(光雅)及爱饰管理有限公司(爱饰),以及Adastria Asia Co., Limited(Adastria)资料外洩事故的调查,并于今日发表调查报告。
(1)光雅及爱饰的资料外洩事故
调查源于光雅及爱饰于2024年11月11日向私隐专员公署通报资料外洩事故,表示其共用的资讯系统出现异常,并收到黑客的讯息指储存于光雅及爱饰资讯系统内的资料已被盗取。经检查后,光雅及爱饰确认储存于资料库伺服器的资料已被黑客盗取及删除(外洩事件)。
光雅是爱饰的母公司,从事珠宝制造及批发,而爱饰则从事珠宝零售,经营「My Jewelry爱饰珠宝」品牌。光雅及爱饰共同管理及使用受外洩事件影响的资讯系统,包括当中的伺服器、应用程式及资料库。
调查发现,黑客透过暴力攻击取得一个具系统管理员权限的帐户(相关帐户)的帐户凭证。黑客利用相关帐户取得进入光雅及爱饰的资讯系统的访问权限后,在资讯系统进行横向移动,包括于一台用于内部系统开发及编程的桌上电脑注入木马程式,继而获取能操控资料库伺服器的原始程式码,并成功盗取及删除储存在内的个人资料。
根据光雅及爱饰提供的资料,受外洩事件影响的资料当事人约 79,400 名,包括光雅的公司客户、现职及离职员工,以及爱饰的店舖客户、现职及离职员工的个人资料,涉及的个人资料包括员工姓名、香港身份证号码、出生日期、电话号码、地址及入职日期,以及客户的姓名、香港身份证号码(首四位数字或英文字母)、出生年份及月份、电话号码、电邮地址及会员编号。
光雅及爱饰在外洩事件发生后已采取改善措施提升资讯系统的保安,包括重设所有用户的登入密码、更新伺服器作业系统,防毒软件及防火墙,以及配置「扩展侦测与回应」工具以对资讯系统进行持续的监察等。此外,光雅及爱饰亦在发生外洩事件后通知所有受影响的资料当事人。
私隐专员公署就外洩事件共进行了七次查讯,并审视了光雅及爱饰提供的资料,以及光雅及爱饰就外洩事件的跟进及补救工作。经考虑外洩事件的情况及调查所获得的资料,个人资料私隐专员(私隐专员)钟丽玲认为光雅及爱饰的以下缺失是导致外洩事件发生的主因(详见附件一):─
基于上述原因,私隐专员裁定光雅及爱饰没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《个人资料(私隐)条例》(《私隐条例》)的保障资料第 4(1)原则有关个人资料保安的规定。
私隐专员已向光雅及爱饰送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
(2)Adastria的资料外洩事故
调查源于Adastria于2024年11月18日向私隐专员公署通报资料外洩事故,表示其客户关系管理平台及电子商务平台(统称受影响平台)遭受未获授权的第三方入侵,导致Adastria客户的个人资料被窃取(Adastria外洩事件)。
调查发现,受影响平台由第三方供应商(该平台供应商)提供,以软件即服务(Software-as-a-Service)方式运作。在Adastria外洩事件当中,黑客利用一名现职员工的管理员帐户的帐户凭证,从一个不明的海外 IP 位址连接至受影响平台,继而下载储存于当中的订单资料。
Adastria的总公司是一间日本的跨国企业,在多个亚洲国家经营服装零售。Adastria在外洩事件发生时透过其网上平台「dot st HK」管理旗下品牌(包括 GLOBAL WORK, “niko and …”, LOWRYS FARM, Heather, JEANASiS, studio CLIP, repipi armario, LEPSIM, PAGEBOY)在香港的销售。Adastria外洩事件合共影响59,205名客户的个人资料,涉及的个人资料包括客户的姓名、电话号码及订单资料(包括交易参考编号、订单日期、会员号码、送货方式、送货╱取货日期、送货地址、产品名称与描述,以及价格资料)。
在调查过程中,Adastria发现受影响的个人资料于外洩事件发生约两个月后在「暗网」公开,并可供下载。
Adastria在外洩事件发生后已通知所有受影响的客户。Adastria亦就外洩事件中发现的缺失采取一系列的补救措施,包括启用受影响平台的保安功能,例如密码措施、多重认证功能及限制IP 位址连接功能,以及安装端点侦测及回应方案以进行侦测及拦截资讯系统中的任何恶意活动。
私隐专员公署就Adastria外洩事件共进行了五次查讯,并审视了Adastria提供的资料,包括Adastria委聘的第三方顾问提供的两份调查报告,以及Adastria就外洩事件的跟进及补救工作。经考虑Adastria外洩事件的情况及调查所获得的资料,私隐专员认为Adastria的以下缺失是导致外洩事件发生的主因(详见附件二):─
基于上述原因,私隐专员裁定Adastria没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第4(1)原则有关个人资料保安的规定。
私隐专员已向Adastria送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
私隐专员表示,上述两宗资料外洩事件都涉及持有大量客户个人资料的零售业机构,而其中一宗更有证据明确显示客户资料外洩后在「暗网」公开,可见资料外洩个案与个人资料被贩卖图利,以及个人资料被骗徒使用于形形色色的诈骗活动不无关系。私隐专员明白一般零售业机构投放于网络安全方面的资源或许有限,惟随着全球的网络保安风险变化迅速,而个人资料被骗徒用于诈骗的个案近年亦呈上升趋势,私隐专员钟丽玲提醒零售行业及持有大量客户资料的机构:「面对与日俱增的网络安全威胁,机构应视其所持有的个人资料为重要资产,投放足够资源于网络保安及数据安全,从而保障所持有的个人资料,以符合《私隐条例》的规定及资料当事人的合理期望。」
私隐专员建议机构应采取合适的机构性及技术性措施以保障载有个人资料的资讯系统,包括以下措施:
私隐专员公署鼓励机构参考公署刊发的《资讯及通讯科技的保安措施指引》及《资料外洩事故的处理及通报指引》,未雨绸缪,提升网络安全和数据安全。为协助企业保障数据安全,私隐专员公署已推出了「数据安全」专题网页[1]、「数据安全」热线 (2110 1155),以及方便企业就其资讯及通讯系统的资料保安措施进行自我评估的「数据安全快测」[2]。
(1)光雅及爱饰的资料外洩事故
调查源于光雅及爱饰于2024年11月11日向私隐专员公署通报资料外洩事故,表示其共用的资讯系统出现异常,并收到黑客的讯息指储存于光雅及爱饰资讯系统内的资料已被盗取。经检查后,光雅及爱饰确认储存于资料库伺服器的资料已被黑客盗取及删除(外洩事件)。
光雅是爱饰的母公司,从事珠宝制造及批发,而爱饰则从事珠宝零售,经营「My Jewelry爱饰珠宝」品牌。光雅及爱饰共同管理及使用受外洩事件影响的资讯系统,包括当中的伺服器、应用程式及资料库。
调查发现,黑客透过暴力攻击取得一个具系统管理员权限的帐户(相关帐户)的帐户凭证。黑客利用相关帐户取得进入光雅及爱饰的资讯系统的访问权限后,在资讯系统进行横向移动,包括于一台用于内部系统开发及编程的桌上电脑注入木马程式,继而获取能操控资料库伺服器的原始程式码,并成功盗取及删除储存在内的个人资料。
根据光雅及爱饰提供的资料,受外洩事件影响的资料当事人约 79,400 名,包括光雅的公司客户、现职及离职员工,以及爱饰的店舖客户、现职及离职员工的个人资料,涉及的个人资料包括员工姓名、香港身份证号码、出生日期、电话号码、地址及入职日期,以及客户的姓名、香港身份证号码(首四位数字或英文字母)、出生年份及月份、电话号码、电邮地址及会员编号。
光雅及爱饰在外洩事件发生后已采取改善措施提升资讯系统的保安,包括重设所有用户的登入密码、更新伺服器作业系统,防毒软件及防火墙,以及配置「扩展侦测与回应」工具以对资讯系统进行持续的监察等。此外,光雅及爱饰亦在发生外洩事件后通知所有受影响的资料当事人。
私隐专员公署就外洩事件共进行了七次查讯,并审视了光雅及爱饰提供的资料,以及光雅及爱饰就外洩事件的跟进及补救工作。经考虑外洩事件的情况及调查所获得的资料,个人资料私隐专员(私隐专员)钟丽玲认为光雅及爱饰的以下缺失是导致外洩事件发生的主因(详见附件一):─
- 未有适时删除离职员工帐户;
- 资讯系统欠缺有效的保安及侦测措施;
- 伺服器的作业系统已过时;
- 欠缺资讯保安政策及指引;及
- 未有对资讯系统进行保安评估及审计。
基于上述原因,私隐专员裁定光雅及爱饰没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《个人资料(私隐)条例》(《私隐条例》)的保障资料第 4(1)原则有关个人资料保安的规定。
私隐专员已向光雅及爱饰送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
(2)Adastria的资料外洩事故
调查源于Adastria于2024年11月18日向私隐专员公署通报资料外洩事故,表示其客户关系管理平台及电子商务平台(统称受影响平台)遭受未获授权的第三方入侵,导致Adastria客户的个人资料被窃取(Adastria外洩事件)。
调查发现,受影响平台由第三方供应商(该平台供应商)提供,以软件即服务(Software-as-a-Service)方式运作。在Adastria外洩事件当中,黑客利用一名现职员工的管理员帐户的帐户凭证,从一个不明的海外 IP 位址连接至受影响平台,继而下载储存于当中的订单资料。
Adastria的总公司是一间日本的跨国企业,在多个亚洲国家经营服装零售。Adastria在外洩事件发生时透过其网上平台「dot st HK」管理旗下品牌(包括 GLOBAL WORK, “niko and …”, LOWRYS FARM, Heather, JEANASiS, studio CLIP, repipi armario, LEPSIM, PAGEBOY)在香港的销售。Adastria外洩事件合共影响59,205名客户的个人资料,涉及的个人资料包括客户的姓名、电话号码及订单资料(包括交易参考编号、订单日期、会员号码、送货方式、送货╱取货日期、送货地址、产品名称与描述,以及价格资料)。
在调查过程中,Adastria发现受影响的个人资料于外洩事件发生约两个月后在「暗网」公开,并可供下载。
Adastria在外洩事件发生后已通知所有受影响的客户。Adastria亦就外洩事件中发现的缺失采取一系列的补救措施,包括启用受影响平台的保安功能,例如密码措施、多重认证功能及限制IP 位址连接功能,以及安装端点侦测及回应方案以进行侦测及拦截资讯系统中的任何恶意活动。
私隐专员公署就Adastria外洩事件共进行了五次查讯,并审视了Adastria提供的资料,包括Adastria委聘的第三方顾问提供的两份调查报告,以及Adastria就外洩事件的跟进及补救工作。经考虑Adastria外洩事件的情况及调查所获得的资料,私隐专员认为Adastria的以下缺失是导致外洩事件发生的主因(详见附件二):─
- 薄弱的密码管理;
- 未有为存取帐户启用多重认证功能;
- 缺乏保障个人资料的意识;及
- 未有对受影响平台进行适当的保安检视。
基于上述原因,私隐专员裁定Adastria没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第4(1)原则有关个人资料保安的规定。
私隐专员已向Adastria送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
私隐专员表示,上述两宗资料外洩事件都涉及持有大量客户个人资料的零售业机构,而其中一宗更有证据明确显示客户资料外洩后在「暗网」公开,可见资料外洩个案与个人资料被贩卖图利,以及个人资料被骗徒使用于形形色色的诈骗活动不无关系。私隐专员明白一般零售业机构投放于网络安全方面的资源或许有限,惟随着全球的网络保安风险变化迅速,而个人资料被骗徒用于诈骗的个案近年亦呈上升趋势,私隐专员钟丽玲提醒零售行业及持有大量客户资料的机构:「面对与日俱增的网络安全威胁,机构应视其所持有的个人资料为重要资产,投放足够资源于网络保安及数据安全,从而保障所持有的个人资料,以符合《私隐条例》的规定及资料当事人的合理期望。」
私隐专员建议机构应采取合适的机构性及技术性措施以保障载有个人资料的资讯系统,包括以下措施:
- 制订明确针对资讯系统安全的内部政策和程序,并贯彻执行相关政策和程序;
- 实施有效措施以预防、侦测及应对网络攻击,包括定期进行漏洞扫瞄、以及适时修补保安漏洞;
- 停止使用已被终止支援的软件,以及适时更新软件﹔
- 加强资讯系统的密码管理,并采用多重认证功能;
- 定期为资讯系统进行全面的保安风险评估及审计;
- 对第三方供应商提供的服务平台设置合适的保安功能,并进行定期的保安检视;
- 制订资料外洩事故应变计划;及
- 为员工提供适当培训,提高员工的数据安全意识。
私隐专员公署鼓励机构参考公署刊发的《资讯及通讯科技的保安措施指引》及《资料外洩事故的处理及通报指引》,未雨绸缪,提升网络安全和数据安全。为协助企业保障数据安全,私隐专员公署已推出了「数据安全」专题网页[1]、「数据安全」热线 (2110 1155),以及方便企业就其资讯及通讯系统的资料保安措施进行自我评估的「数据安全快测」[2]。
私隐专员钟丽玲发表两份资料外洩事故调查报告。
私隐专员钟丽玲讲解两份资料外洩事故调查报告。
私隐专员钟丽玲(左)及首席个人资料主任(合规及查询)郭正熙(右)讲解两份资料外洩事故调查报告。
私隐专员钟丽玲(左)及首席个人资料主任(合规及查询)郭正熙(右)讲解两份资料外洩事故调查报告。
[2] https://www.pcpd.org.hk/Toolkit/tc/
附件一
附件一
光雅珠宝贸易有限公司及爱饰管理有限公司资料外洩事故
导致资料外洩事故的缺失
导致资料外洩事故的缺失
-
未有适时删除离职员工帐户。相关帐户在事发时不仅閒置超过13年,且未有启用多重认证及帐户锁定功能,黑客最终利用相关帐户入侵光雅及爱饰资讯系统并盗取及删除储存于资料库伺服器的个人资料;
-
资讯系统欠缺有效的保安及侦测措施。光雅及爱饰配置的防火墙及防毒软件属已过时的版本,未能有效抵御是次的黑客攻击,而它们亦没有设定能有效实时或定期监察资讯系统活动的其他防御措施;
-
伺服器的作业系统已过时。受外洩事件影响的资料库伺服器的作业系统并非最新版本,供应商已终止支援相关作业系统达四年之久。光雅及爱饰在外洩事件前既未有适时更新资料库伺服器的作业系统,亦未有采取任何额外的防护措施;
-
欠缺资讯保安政策及指引。光雅及爱饰未有在系统保安、帐户管理、密码要求、活动侦测及系统更新方面制订书面政策或指引供员工依循,亦未备有资料保安事故的应变计划和通报机制;及
- 未有对资讯系统进行保安评估及审计。光雅及爱饰在外洩事件发生前未曾对资讯系统进行任何形式的保安评估及审计,以识别潜在的资讯保安风险。
Adastria Asia Co., Limited资料外洩事故
导致资料外洩事故的缺失
导致资料外洩事故的缺失
-
薄弱的密码管理:受影响平台中所有用户的密码都只是六位数字的简单组合,且在Adastria外洩事件发生前两年未曾更改。尽管该平台供应商提供多项可套用于受影响平台的密码管理措施,包括密码的最短长度及复杂程度、密码自动过期的设定,以及帐户在多次登入失败后自动锁定的功能。然而,Adastria未有启用这些可供使用的密码管理措施;
-
未有为存取帐户启用多重认证功能:尽管该平台供应商已于受影响平台提供多重认证功能,惟Adastria未有在外洩事件发生时为其任何用户帐户启用相关功能,包括遭入侵的管理员帐户;
-
缺乏保障个人资料的意识:该平台供应商为受影响平台提供一系列的保安措施,包括密码管理措施、多重认证功能、监察登入及限制IP 位址连接的功能,但Adastria在外洩事件发生时没有启用上述任何一项可供使用的保安措施;及
- 未有对受影响平台进行适当的保安检视:虽然该平台供应商会定期为受影响平台进行针对其基础架构的保安检视,但Adastria在外洩事件发生前未有从服务使用者的角度对受影响平台进行任何保安检视。