個人私隱｜快圖美去年遭勒索軟件攻擊 私隱公署批未採措施保障客戶資料

連鎖沖印公司快圖美的網上商店數據庫去年10月26日遭勒索軟件攻擊及惡意加密，約54萬名會員和近7.4萬名客戶的個人資料有外洩風險，公司在約一周後向個人資料私隱專員公署通報。公署事後進行調查，認為快圖美在客戶個人資料保安方面存嚴重不足，導致公司數據庫遭受攻擊，已要求公司糾正問題。

私隱專員鍾麗玲指，調查顯示快圖美在2018年3月向一服務供應商購買防火牆，一年後啟用保密插口層虛擬私有網絡（SSL VPN）供資訊科技部門需要時遙距登入系統；同年5月防火牆生產商公布其作業系統漏洞，藉以取得SSL VPN的用戶名稱及密碼並執行程式，呼籲用家在更新作業系統和重設所有密碼前停用SSL VPN功能，但快圖美未有跟進。

她引述快圖美指，公司諮詢服務供應商和作內部評估後，考慮到已有一系列資訊保安措施，認為無需即時安裝修補程式，又承認後來受疫情影響而推行在家工作、令員工可如常使用SSL VPN時，也未有重新評估隱患。她認為這顯示快圖美錯誤評估保安漏洞風險、資訊系統管理欠妥，又拖延啟用多重認證，即未採取切實可行的步驟保障客戶個人資料，成為公司受黑客攻擊的原因，已違反《私隱條例》規定。

公署署理首席個人資料主任（合規及查詢）郭正熙表示，已要求快圖美徹底檢視載有個人資料的系統保安、聘請獨立資料保安專家定期檢視系統保安等。他強調黑客攻擊頻繁，各機構都不應疏忽資訊系統保安，特別要警惕在家工作可能帶來的新安全風險，但暫時未獲悉涉事個人資料被用於不法用途。

港鐵事故｜港鐵荃灣綫今早恢復服務 港鐵：路軌旁金屬護欄組件移位致列車偏離，詳情即睇【下一頁】

撰文︰歐文瀚

責任編輯︰黎家榮