【大纪元2022年11月15日讯】(大纪元记者张瑛瑜香港综合报导)连锁冲印店快图美的数据库去年底受勒索软件攻击,私隐专员公署发表事件的调查报告,称共影响超过54万名快图美会员,以及逾7万名曾于2020年11月16日至2021年10月26日,光顾快图美网上商店的客户,他们的姓名、电话号码、出生月份及日子、电邮、联络及送货地址等个人资料被泄漏。
公署调查后,点名快图美在3方面存在严重不足,导致该数据库在可避免的情况下,被黑客利用保安漏洞入侵系统,并存取个人资料,包括错误评估保安漏洞的风险;资讯系统管理有欠妥善;及拖延启用多重认证功能。
综合私隐专员调查及快图美向公署交代,快图美于2018年3月购买“防火墙”,4月启用,并在2019年3月启用SSLVPN,以供资讯科技部门有需要时,遥距登入其系统。2019年“防火墙”生产商在其网站发出保安建议,称有黑客披露其作业系统的漏洞,攻击者可以通过相关漏洞,绕过保安限制,直接取得SSLVPN账户名称及密码,并可于目标系统执行任何程式,亦呼吁用家立即停用SSLVPN功能,直至更新作业系统及重设所有账户密码,同时建议启用多重认证。
其后政府电脑保安事故协调中心亦就相关漏洞发出高危保安警报,建议机构应立即为受影响的系统安装修补程式,或应先停用SSLVPN,直到已为受影响的系统进行修补。
私隐专员批心存侥幸 及态度轻率
因应疫情,快图美曾3度推行在家工作安排,容许员工使用自携装置或公司手提电脑,透过SSLVPN连接公司系统。对于在此前未有启用多重认证功能,快图美解释由于每次推行在家工作安排为期不长,经评估后认为当时的保安措施,已经足够防范网络攻击。专员批评快图美对其资料保安措施抱持过分信心,亦对为期共约3个月的在家工作安排采取轻率的态度。
公署指,快图美早于2019年9月已经知悉该防火墙存在相关漏洞,但未有采取任何行动,私隐专员认为,快图美对已知风险抱有过分乐观甚或侥幸心理,明显地错误评估相关漏洞,对其载有个人资料的资讯系统造成的风险,以及一旦遭黑客入侵可能引致的后果,令人遗憾。
另外,专员认为快图美未有制订严谨的修补程式管理程序,致快图美在知悉该防火墙存有保安漏洞的情况下,未有及时修补相关漏洞,使黑客成功入侵,称快图美明显未有承担作为资料使用者的责任,未有采取所有切实可行的步骤保障该数据库内的个人资料。
私隐专员指,快图美没有采取所有切实可行的步骤,保障个人资料,违反《私隐条例》保障资料第4(1)原则有关个人资料保安的规定,并已向快图美送达执行通知,包括彻底检视系统保安、聘请独立的资料保安专家定期检视及审核等。
调查报告表示,快图美其后称将删除过去3年没有进行消费的非活跃用户的个人资料,并在2020年底停止收集会员的出生日子。
私隐专员又提醒处理顾客个人资料的机构要提高警觉、设立个人资料私隐管理系统,提升资讯系统管理、委任专责人员作为保障资料主任,并定时评估风险,防范黑客攻击。◇
责任编辑:李薇
