新聞稿
私隱專員公署發表兩份資料外洩事故調查報告(一)光雅珠寶貿易有限公司及愛飾管理有限公司及(二)Adastria Asia Co., Limited
日期: 2025年8月21日
私隱專員公署發表兩份資料外洩事故調查報告
私隱專員公署發表兩份資料外洩事故調查報告
(一)光雅珠寶貿易有限公司及愛飾管理有限公司
及(二)Adastria Asia Co., Limited
個人資料私隱專員公署(私隱專員公署)完成對光雅珠寶貿易有限公司(光雅)及愛飾管理有限公司(愛飾),以及Adastria Asia Co., Limited(Adastria)資料外洩事故的調查,並於今日發表調查報告。
(1)光雅及愛飾的資料外洩事故
調查源於光雅及愛飾於2024年11月11日向私隱專員公署通報資料外洩事故,表示其共用的資訊系統出現異常,並收到黑客的訊息指儲存於光雅及愛飾資訊系統內的資料已被盜取。經檢查後,光雅及愛飾確認儲存於資料庫伺服器的資料已被黑客盜取及刪除(外洩事件)。
光雅是愛飾的母公司,從事珠寶製造及批發,而愛飾則從事珠寶零售,經營「My Jewelry愛飾珠寶」品牌。光雅及愛飾共同管理及使用受外洩事件影響的資訊系統,包括當中的伺服器、應用程式及資料庫。
調查發現,黑客透過暴力攻擊取得一個具系統管理員權限的帳戶(相關帳戶)的帳戶憑證。黑客利用相關帳戶取得進入光雅及愛飾的資訊系統的訪問權限後,在資訊系統進行橫向移動,包括於一台用於內部系統開發及編程的桌上電腦注入木馬程式,繼而獲取能操控資料庫伺服器的原始程式碼,並成功盜取及刪除儲存在內的個人資料。
根據光雅及愛飾提供的資料,受外洩事件影響的資料當事人約 79,400 名,包括光雅的公司客戶、現職及離職員工,以及愛飾的店舖客戶、現職及離職員工的個人資料,涉及的個人資料包括員工姓名、香港身份證號碼、出生日期、電話號碼、地址及入職日期,以及客戶的姓名、香港身份證號碼(首四位數字或英文字母)、出生年份及月份、電話號碼、電郵地址及會員編號。
光雅及愛飾在外洩事件發生後已採取改善措施提升資訊系統的保安,包括重設所有用戶的登入密碼、更新伺服器作業系統,防毒軟件及防火牆,以及配置「擴展偵測與回應」工具以對資訊系統進行持續的監察等。此外,光雅及愛飾亦在發生外洩事件後通知所有受影響的資料當事人。
私隱專員公署就外洩事件共進行了七次查訊,並審視了光雅及愛飾提供的資料,以及光雅及愛飾就外洩事件的跟進及補救工作。經考慮外洩事件的情況及調查所獲得的資料,個人資料私隱專員(私隱專員)鍾麗玲認為光雅及愛飾的以下缺失是導致外洩事件發生的主因(詳見附件一):─
基於上述原因,私隱專員裁定光雅及愛飾沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《個人資料(私隱)條例》(《私隱條例》)的保障資料第 4(1)原則有關個人資料保安的規定。
私隱專員已向光雅及愛飾送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
(2)Adastria的資料外洩事故
調查源於Adastria於2024年11月18日向私隱專員公署通報資料外洩事故,表示其客戶關係管理平台及電子商務平台(統稱受影響平台)遭受未獲授權的第三方入侵,導致Adastria客戶的個人資料被竊取(Adastria外洩事件)。
調查發現,受影響平台由第三方供應商(該平台供應商)提供,以軟件即服務(Software-as-a-Service)方式運作。在Adastria外洩事件當中,黑客利用一名現職員工的管理員帳戶的帳戶憑證,從一個不明的海外 IP 位址連接至受影響平台,繼而下載儲存於當中的訂單資料。
Adastria的總公司是一間日本的跨國企業,在多個亞洲國家經營服裝零售。Adastria在外洩事件發生時透過其網上平台「dot st HK」管理旗下品牌(包括 GLOBAL WORK, “niko and …”, LOWRYS FARM, Heather, JEANASiS, studio CLIP, repipi armario, LEPSIM, PAGEBOY)在香港的銷售。Adastria外洩事件合共影響59,205名客戶的個人資料,涉及的個人資料包括客戶的姓名、電話號碼及訂單資料(包括交易參考編號、訂單日期、會員號碼、送貨方式、送貨╱取貨日期、送貨地址、產品名稱與描述,以及價格資料)。
在調查過程中,Adastria發現受影響的個人資料於外洩事件發生約兩個月後在「暗網」公開,並可供下載。
Adastria在外洩事件發生後已通知所有受影響的客戶。Adastria亦就外洩事件中發現的缺失採取一系列的補救措施,包括啟用受影響平台的保安功能,例如密碼措施、多重認證功能及限制IP 位址連接功能,以及安裝端點偵測及回應方案以進行偵測及攔截資訊系統中的任何惡意活動。
私隱專員公署就Adastria外洩事件共進行了五次查訊,並審視了Adastria提供的資料,包括Adastria委聘的第三方顧問提供的兩份調查報告,以及Adastria就外洩事件的跟進及補救工作。經考慮Adastria外洩事件的情況及調查所獲得的資料,私隱專員認為Adastria的以下缺失是導致外洩事件發生的主因(詳見附件二):─
基於上述原因,私隱專員裁定Adastria沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定。
私隱專員已向Adastria送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
私隱專員表示,上述兩宗資料外洩事件都涉及持有大量客戶個人資料的零售業機構,而其中一宗更有證據明確顯示客戶資料外洩後在「暗網」公開,可見資料外洩個案與個人資料被販賣圖利,以及個人資料被騙徒使用於形形色色的詐騙活動不無關係。私隱專員明白一般零售業機構投放於網絡安全方面的資源或許有限,惟隨着全球的網絡保安風險變化迅速,而個人資料被騙徒用於詐騙的個案近年亦呈上升趨勢,私隱專員鍾麗玲提醒零售行業及持有大量客戶資料的機構:「面對與日俱增的網絡安全威脅,機構應視其所持有的個人資料為重要資產,投放足夠資源於網絡保安及數據安全,從而保障所持有的個人資料,以符合《私隱條例》的規定及資料當事人的合理期望。」
私隱專員建議機構應採取合適的機構性及技術性措施以保障載有個人資料的資訊系統,包括以下措施:
私隱專員公署鼓勵機構參考公署刊發的《資訊及通訊科技的保安措施指引》及《資料外洩事故的處理及通報指引》,未雨綢繆,提升網絡安全和數據安全。為協助企業保障數據安全,私隱專員公署已推出了「數據安全」專題網頁[1]、「數據安全」熱線 (2110 1155),以及方便企業就其資訊及通訊系統的資料保安措施進行自我評估的「數據安全快測」[2]。
(1)光雅及愛飾的資料外洩事故
調查源於光雅及愛飾於2024年11月11日向私隱專員公署通報資料外洩事故,表示其共用的資訊系統出現異常,並收到黑客的訊息指儲存於光雅及愛飾資訊系統內的資料已被盜取。經檢查後,光雅及愛飾確認儲存於資料庫伺服器的資料已被黑客盜取及刪除(外洩事件)。
光雅是愛飾的母公司,從事珠寶製造及批發,而愛飾則從事珠寶零售,經營「My Jewelry愛飾珠寶」品牌。光雅及愛飾共同管理及使用受外洩事件影響的資訊系統,包括當中的伺服器、應用程式及資料庫。
調查發現,黑客透過暴力攻擊取得一個具系統管理員權限的帳戶(相關帳戶)的帳戶憑證。黑客利用相關帳戶取得進入光雅及愛飾的資訊系統的訪問權限後,在資訊系統進行橫向移動,包括於一台用於內部系統開發及編程的桌上電腦注入木馬程式,繼而獲取能操控資料庫伺服器的原始程式碼,並成功盜取及刪除儲存在內的個人資料。
根據光雅及愛飾提供的資料,受外洩事件影響的資料當事人約 79,400 名,包括光雅的公司客戶、現職及離職員工,以及愛飾的店舖客戶、現職及離職員工的個人資料,涉及的個人資料包括員工姓名、香港身份證號碼、出生日期、電話號碼、地址及入職日期,以及客戶的姓名、香港身份證號碼(首四位數字或英文字母)、出生年份及月份、電話號碼、電郵地址及會員編號。
光雅及愛飾在外洩事件發生後已採取改善措施提升資訊系統的保安,包括重設所有用戶的登入密碼、更新伺服器作業系統,防毒軟件及防火牆,以及配置「擴展偵測與回應」工具以對資訊系統進行持續的監察等。此外,光雅及愛飾亦在發生外洩事件後通知所有受影響的資料當事人。
私隱專員公署就外洩事件共進行了七次查訊,並審視了光雅及愛飾提供的資料,以及光雅及愛飾就外洩事件的跟進及補救工作。經考慮外洩事件的情況及調查所獲得的資料,個人資料私隱專員(私隱專員)鍾麗玲認為光雅及愛飾的以下缺失是導致外洩事件發生的主因(詳見附件一):─
- 未有適時刪除離職員工帳戶;
- 資訊系統欠缺有效的保安及偵測措施;
- 伺服器的作業系統已過時;
- 欠缺資訊保安政策及指引;及
- 未有對資訊系統進行保安評估及審計。
基於上述原因,私隱專員裁定光雅及愛飾沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《個人資料(私隱)條例》(《私隱條例》)的保障資料第 4(1)原則有關個人資料保安的規定。
私隱專員已向光雅及愛飾送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
(2)Adastria的資料外洩事故
調查源於Adastria於2024年11月18日向私隱專員公署通報資料外洩事故,表示其客戶關係管理平台及電子商務平台(統稱受影響平台)遭受未獲授權的第三方入侵,導致Adastria客戶的個人資料被竊取(Adastria外洩事件)。
調查發現,受影響平台由第三方供應商(該平台供應商)提供,以軟件即服務(Software-as-a-Service)方式運作。在Adastria外洩事件當中,黑客利用一名現職員工的管理員帳戶的帳戶憑證,從一個不明的海外 IP 位址連接至受影響平台,繼而下載儲存於當中的訂單資料。
Adastria的總公司是一間日本的跨國企業,在多個亞洲國家經營服裝零售。Adastria在外洩事件發生時透過其網上平台「dot st HK」管理旗下品牌(包括 GLOBAL WORK, “niko and …”, LOWRYS FARM, Heather, JEANASiS, studio CLIP, repipi armario, LEPSIM, PAGEBOY)在香港的銷售。Adastria外洩事件合共影響59,205名客戶的個人資料,涉及的個人資料包括客戶的姓名、電話號碼及訂單資料(包括交易參考編號、訂單日期、會員號碼、送貨方式、送貨╱取貨日期、送貨地址、產品名稱與描述,以及價格資料)。
在調查過程中,Adastria發現受影響的個人資料於外洩事件發生約兩個月後在「暗網」公開,並可供下載。
Adastria在外洩事件發生後已通知所有受影響的客戶。Adastria亦就外洩事件中發現的缺失採取一系列的補救措施,包括啟用受影響平台的保安功能,例如密碼措施、多重認證功能及限制IP 位址連接功能,以及安裝端點偵測及回應方案以進行偵測及攔截資訊系統中的任何惡意活動。
私隱專員公署就Adastria外洩事件共進行了五次查訊,並審視了Adastria提供的資料,包括Adastria委聘的第三方顧問提供的兩份調查報告,以及Adastria就外洩事件的跟進及補救工作。經考慮Adastria外洩事件的情況及調查所獲得的資料,私隱專員認為Adastria的以下缺失是導致外洩事件發生的主因(詳見附件二):─
- 薄弱的密碼管理;
- 未有為存取帳戶啟用多重認證功能;
- 缺乏保障個人資料的意識;及
- 未有對受影響平台進行適當的保安檢視。
基於上述原因,私隱專員裁定Adastria沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定。
私隱專員已向Adastria送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
私隱專員表示,上述兩宗資料外洩事件都涉及持有大量客戶個人資料的零售業機構,而其中一宗更有證據明確顯示客戶資料外洩後在「暗網」公開,可見資料外洩個案與個人資料被販賣圖利,以及個人資料被騙徒使用於形形色色的詐騙活動不無關係。私隱專員明白一般零售業機構投放於網絡安全方面的資源或許有限,惟隨着全球的網絡保安風險變化迅速,而個人資料被騙徒用於詐騙的個案近年亦呈上升趨勢,私隱專員鍾麗玲提醒零售行業及持有大量客戶資料的機構:「面對與日俱增的網絡安全威脅,機構應視其所持有的個人資料為重要資產,投放足夠資源於網絡保安及數據安全,從而保障所持有的個人資料,以符合《私隱條例》的規定及資料當事人的合理期望。」
私隱專員建議機構應採取合適的機構性及技術性措施以保障載有個人資料的資訊系統,包括以下措施:
- 制訂明確針對資訊系統安全的內部政策和程序,並貫徹執行相關政策和程序;
- 實施有效措施以預防、偵測及應對網絡攻擊,包括定期進行漏洞掃瞄、以及適時修補保安漏洞;
- 停止使用已被終止支援的軟件,以及適時更新軟件﹔
- 加強資訊系統的密碼管理,並採用多重認證功能;
- 定期為資訊系統進行全面的保安風險評估及審計;
- 對第三方供應商提供的服務平台設置合適的保安功能,並進行定期的保安檢視;
- 制訂資料外洩事故應變計劃;及
- 為員工提供適當培訓,提高員工的數據安全意識。
私隱專員公署鼓勵機構參考公署刊發的《資訊及通訊科技的保安措施指引》及《資料外洩事故的處理及通報指引》,未雨綢繆,提升網絡安全和數據安全。為協助企業保障數據安全,私隱專員公署已推出了「數據安全」專題網頁[1]、「數據安全」熱線 (2110 1155),以及方便企業就其資訊及通訊系統的資料保安措施進行自我評估的「數據安全快測」[2]。
私隱專員鍾麗玲發表兩份資料外洩事故調查報告。
私隱專員鍾麗玲講解兩份資料外洩事故調查報告。
私隱專員鍾麗玲(左)及首席個人資料主任(合規及查詢)郭正熙(右)講解兩份資料外洩事故調查報告。
私隱專員鍾麗玲(左)及首席個人資料主任(合規及查詢)郭正熙(右)講解兩份資料外洩事故調查報告。
[2] https://www.pcpd.org.hk/Toolkit/tc/
附件一
附件一
光雅珠寶貿易有限公司及愛飾管理有限公司資料外洩事故
導致資料外洩事故的缺失
導致資料外洩事故的缺失
-
未有適時刪除離職員工帳戶。相關帳戶在事發時不僅閒置超過13年,且未有啟用多重認證及帳戶鎖定功能,黑客最終利用相關帳戶入侵光雅及愛飾資訊系統並盜取及刪除儲存於資料庫伺服器的個人資料;
-
資訊系統欠缺有效的保安及偵測措施。光雅及愛飾配置的防火牆及防毒軟件屬已過時的版本,未能有效抵禦是次的黑客攻擊,而它們亦沒有設定能有效實時或定期監察資訊系統活動的其他防禦措施;
-
伺服器的作業系統已過時。受外洩事件影響的資料庫伺服器的作業系統並非最新版本,供應商已終止支援相關作業系統達四年之久。光雅及愛飾在外洩事件前既未有適時更新資料庫伺服器的作業系統,亦未有採取任何額外的防護措施;
-
欠缺資訊保安政策及指引。光雅及愛飾未有在系統保安、帳戶管理、密碼要求、活動偵測及系統更新方面制訂書面政策或指引供員工依循,亦未備有資料保安事故的應變計劃和通報機制;及
- 未有對資訊系統進行保安評估及審計。光雅及愛飾在外洩事件發生前未曾對資訊系統進行任何形式的保安評估及審計,以識別潛在的資訊保安風險。
Adastria Asia Co., Limited資料外洩事故
導致資料外洩事故的缺失
導致資料外洩事故的缺失
-
薄弱的密碼管理:受影響平台中所有用戶的密碼都只是六位數字的簡單組合,且在Adastria外洩事件發生前兩年未曾更改。儘管該平台供應商提供多項可套用於受影響平台的密碼管理措施,包括密碼的最短長度及複雜程度、密碼自動過期的設定,以及帳戶在多次登入失敗後自動鎖定的功能。然而,Adastria未有啟用這些可供使用的密碼管理措施;
-
未有為存取帳戶啟用多重認證功能:儘管該平台供應商已於受影響平台提供多重認證功能,惟Adastria未有在外洩事件發生時為其任何用戶帳戶啟用相關功能,包括遭入侵的管理員帳戶;
-
缺乏保障個人資料的意識:該平台供應商為受影響平台提供一系列的保安措施,包括密碼管理措施、多重認證功能、監察登入及限制IP 位址連接的功能,但Adastria在外洩事件發生時沒有啟用上述任何一項可供使用的保安措施;及
- 未有對受影響平台進行適當的保安檢視:雖然該平台供應商會定期為受影響平台進行針對其基礎架構的保安檢視,但Adastria在外洩事件發生前未有從服務使用者的角度對受影響平台進行任何保安檢視。