一名寵物美容公司前員工利用現職員工的帳戶存取網上零售系統 — 保障資料第4原則 — 個人資料的保安
背景
一間寵物美容公司(該公司)向私隱專員公署通報,指一名前員工多次利用其他現職員工的帳戶,登入載有過千名客戶個人資料的網上零售系統(該系統),並向有關客戶發出訊息,邀請他們光顧另一間寵物美容公司。涉及的個人資料包括姓名、香港身份證號碼、出生日期、電郵地址、電話號碼、僱傭資料及社交媒體帳戶資料。
該事件源於該公司在設立員工帳戶時,以員工的電話號碼預設為帳戶密碼,並僅以口頭方式提醒員工須在首次登入帳戶後自行更改密碼。由於該前員工知悉該公司的密碼管理模式,故在離職後仍能利用其他員工的帳戶密碼(亦即員工的電話號碼)遙距登入該系統。
補救措施
收到該公司的通報後,私隱專員公署展開循規審查,並就《私隱條例》的相關規定向該公司提供建議。為避免類似事件再次發生,該公司已更改所有員工的帳戶密碼,而所有員工須每半年在主管見證下更改密碼。此外,該公司將新員工帳戶的預設密碼改為由八位英文字母及數字隨機組成的密碼,亦禁止了該系統的遙距存取功能。
借鑑
在密碼管理方面,機構應避免以員工的個人資料(如姓名、出生日期、電話號碼等)作為預設密碼,並應實施有效措施以管理用戶密碼,包括強制密碼長度和複雜性、密碼歷史紀錄,並確保用戶遵循關於密碼保安的最佳行事方式。機構亦應考慮制定帳戶鎖定閾值策略來限制資訊及通訊系統允許登入失敗的次數,並在達到次數上限時封鎖帳戶一段特定的時間。
上載日期:2025年10月