【獨媒報導】相片沖印公司快圖美去年遭勒索軟件攻擊,逾54萬名會員及7.4萬名網上顧客姓名、電話號碼、聯絡及送貨地址等個人資料洩漏。個人資料私隱專員公署今日發表調查報告,指快圖美早知悉系統存在保安漏洞,但未有按防火牆生產商的建議,停用外洩資料的VPN功能並使用多重認證,已違反《私隱條例》,向公司發出執行通知,要求糾正及防止同類行為發生。
快圖美(遠東)有限公司於去年11月1日向個人資料私隱專員公署通報,其網店的數據庫於去年10月26日遭勒索軟件攻擊及惡意加密。事件影響544,862名會員,以及73,957名於前年11月16日至去年10月26日期間在網上訂購服務的顧客。洩漏的個人資料包括,姓名、性別、出生月份及日子、電話號碼、電郵地址、聯絡地址及送貨地址。私隱公署稱暫時未見洩漏的資料遭到不當使用。
快圖美稱已裝防毒軟件 不理生產商提示
個人資料私隱專員公署於去年12月正式展開調查,快圖美向公署承認於2019年9月已經知道相關漏洞,因防火牆生產商於4個月前已在網站發出保安建議,表示留意到有黑客披露其系統的漏洞,攻擊者可以直接取得保密插口層虛擬私有網絡 (SSL VPN)的帳戶名稱及密碼,並可於系統執行任何程式。該生產商促快圖美立即停用SSL VPN功能,直至更新系統及重設所有帳戶密碼,又建議快圖美採用多重認證。不過快圖美未有按建議修補漏洞。
快圖美曾解釋,因已設置包括防毒軟件、防勒索軟件程式及防火牆等保安措施,經諮詢服務供應商及内部評估後,認為無須安裝修補程式,加上當時SSL VPN僅供資訊科技部門在有需要時遙距登入系統,故未有就相關漏洞進行詳細評估。
私隱專員鍾麗玲
專員批評快圖美過份樂觀、僥倖心理
個人資料私隱專員公署指快圖美違反《私隱條例》保障資料第 4(1)原則,有關個人資料保安的規定。私隱專員鍾麗玲批評快圖美錯誤評估保安漏洞的風險,系統管理亦欠妥善,更未有及時修補防火牆的保安漏洞,導致黑客成功入侵系統及執行勒索軟件,加密數據庫。
鍾麗玲又斥快圖美抱「過份樂觀甚或僥倖心理」,明顯地錯誤評估相關漏洞對的風險,及黑客入侵的後果。
促徹底檢視載有個人資料的系統保安
首席個人資料主任(合規及查詢)(署理)郭正熙表示公署已發出執行通知,要求快圖美徹底檢視其載有個人資料的系統保安,確保系統沒有已知的惡意軟件及保安漏洞,並修訂系統保安政策,及訂定修補程式的管理政策及要求。
公署又建議,公司應設立個人資料私隱管理系統、委任專責人員作為保障資料主任及提升資訊系統管理。