【明報專訊】大型連鎖冲印店「快圖美」去年10月遭黑客以勒索軟件攻擊，個人資料私隱專員公署昨發表調查報告，披露事件涉及54.5萬名會員及7.4萬名客戶的個人資料泄漏。報告揭露快圖美2019年已得知系統存保安漏洞，黑客可取得用作遙距登入的VPN帳戶，但快圖美未有執行補救措施；直至疫情安排員工在家工作，原只限資科部使用的VPN擴至其他員工，快圖美仍無重新評估漏洞。私隱專員鍾麗玲斥快圖美抱「過分樂觀甚或僥倖心理」，公署已就快圖美違反《私隱條例》發出執行通知，要求糾正及防止同類行為發生。

公署去年11月1日接獲快圖美資料外泄事故通報，稱網上商店數據庫去年10月26日遭勒索軟件攻擊及惡意加密。事件影響544,862名會員及73,957名前年11月16日至去年10月26日的網上顧客，相關資料包括姓名、出生日期、電話號碼及聯絡地址等。公署去年12月展開調查，暫未見泄漏的資料遭到不當使用。

快圖美稱有設防勒索軟件 評估後毋須修補

報告稱，快圖美的防火牆生產商2019年5月在其網站發出保安建議，稱留意到有黑客披露其系統漏洞，攻擊者可直接取得保密插口層虛擬私有網絡（SSL VPN）的帳戶名稱及密碼，並於系統執行任何程式。生產商呼籲用家停用VPN功能，直至更新系統及重設所有帳戶密碼，又建議採多重認證，但快圖美未有按建議修補漏洞。

疫下在家工作擴VPN 「為期不長」夠防範

快圖美向公署承認2019年9月已知悉相關漏洞，稱因已設置防毒軟件、防勒索軟件程式及防火牆等措施，經諮詢服務供應商及內部評估後，認為毋須安裝修補程式，加上當時VPN僅供資訊科技部門需要時遙距登入系統，故未詳細評估漏洞。快圖美又稱，每次推出在家工作為期不長，評估後認為當時保安措施已夠防範網絡攻擊。

報告批評快圖美多方面存嚴重不足，包括誤評保安風險、資訊系統管理不善、拖延啟用多重認證功能，對為期共約3個月的在家工作安排採輕率態度，未有評估風險及採取適當資料保安措施，容許載有個人資料的資訊系統暴露在已知風險。鍾麗玲稱快圖美無即時採取措施保障客戶個人資料，違反《私隱條例》規定。快圖美若不遵從執行通知，最高可罰款5萬元及監禁兩年。