【明報專訊】個人資料私隱專員公署昨日公布兩宗資料外泄事故的調查報告，其一涉及擁GLOBAL WORK、LOWRYS FARM等品牌的日本服裝企業Adastria Asia Co., Ltd.。該企業去年底遭黑客入侵網上平台，竊取近6萬名客戶資料，有客戶其後接獲冒充店員的可疑來電，外泄資料亦在「暗網」公開。私隱專員鍾麗玲稱，涉事網上平台供應商原提供多項保安措施，惟Adastria沒採用，舉例管理員帳戶密碼只是「很簡單的六位數字」，反映其缺乏保障個人資料意識，遺憾今次事故「相當有機會可以避免發生」。

兩宗事故分別涉跨國企業Adastria，以及擁珠寶品牌「My Jewelry愛飾珠寶」的本地企業愛飾管理有限公司與其母企光雅珠寶貿易有限公司，均於去年底揭發資料外泄，合計泄漏逾13.9萬名職員或客戶資料。公署接手調查逾半年後，昨公布結果，發現涉事企業有多項缺失（見表）。

有強化措施未用 客資料「暗網」公開

Adastria原經由網上平台「dot st HK」管理GLOBAL WORK、LOWRYS FARM、niko and ...等品牌在港的銷售。去年10月，黑客入侵涉事平台，利用一名現職員工的管理員帳戶，從不明海外IP位址連接平台並下載訂單資料，受影響顧客達59,205人。公司翌月接獲4名顧客反映收到冒充店員的可疑來電，始揭發事件。

公署發現，涉事網上平台供應商提供多項保安措施，如密碼管理、多重認證、監察登入及限制IP位址連接等功能，惟Adastria沒採用。鍾麗玲稱，Adastria未能就沒啟用保安功能給予任何解釋，相信與其保安意識不足相關，「例如使用高強度密碼，是完全不涉任何資源的投入，亦很容易做到」。

未刪離職13年員工帳戶 珠寶品牌泄7.9萬客資

至於「光雅」及其子公司「愛飾」的資料外泄事故則涉逾7.9萬名現職、離職僱員及客戶個人資料。去年11月，黑客透過暴力攻擊取得一個系統管理員權限的帳戶，利用該帳戶及木馬程式入侵資料庫伺服器，盜取及刪除個人資料。公署調查發現，涉事帳戶原屬一名已離職13年的前僱員，公司沒適時刪除離職員工帳戶和沒啟用多重認證及帳戶鎖定功能，釀成事故，而兩公司配置的防火牆及防毒軟件已過時，伺服器作業系統亦非最新版本，供應商已終止支援達4年之久。

私隱署指示糾正 Adastria改8位混合密碼

私隱專員已向兩事故涉事公司送達執行通知，指示其採取措施糾正違規事項。其中Adastria已加強密碼管理措施，要求新登記人使用至少8位字母及數字混合組成的密碼。鍾麗玲稱，公署暫未接獲事故受害人查詢或投訴，但不代表受影響者沒收到詐騙電話或電郵，他們可能掛斷來電而沒投訴，又或受騙後直接報警。

■明報報料熱線﹕inews@mingpao.com / 9181 4676