會員注意｜niko and…及LOWRYS FARM母公司洩6萬客戶資料　暗網公開任人睇

個人資料私隱專員公署（下稱公署）發表最新調查報告，揭示本港零售業界先後發生兩宗涉及大規模個人資料外洩事故，受影響人數合共近 14 萬。其中，在本港有眾多分店的 niko and… 及 LOWRYS FARM 等服裝零售店的網上平台「dot st HK」，有近 6 萬名客戶的個人資料外洩，遭黑客在暗網上公開及予人下載，部分更被用作進行詐騙。

騙徒扮員工致電　客戶感可疑揭發事件

發生外洩事故的 Adastria，總公司是一間日本跨國企業，在多個亞洲國家經營服裝零售。其時 Adastria 透過其網上平台「dot st HK」管理旗下品牌，包括 niko and …、 LOWRYS FARM、GLOBAL WORK、Heather、JEANASiS 等在香港的銷售。

Adastria 外洩事件合共影響 59,205 名客戶的個人資料，涉及的個人資料包括客戶的姓名、電話號碼及訂單資料，包括交易參考編號、訂單日期、會員號碼、送貨方式、送貨╱取貨日期、送貨地址、產品名稱與描述，以及價格資料。

Adastria 指，於去年 10 月至 11 月初收到 4 位客戶投訴，稱收到其員工的來電，表示貨品有品質問題，需安排退款，向客戶索取銀行賬戶等資料，客戶感到可疑遂向公司投訴，繼而揭發事件。

公署批 Adastria 資料保安意識不足

經調查後，發現 Adastria 的客戶關係管理平台及電子商務平台（下稱受影響平台），以軟件即服務（Software-as-a-Service）方式運作，黑客利用一名現職員工的管理員帳戶的帳戶憑證，從一個不明的海外 IP 位址連接至受影響平台，繼而下載儲存於當中的訂單資料。部分個人資料於事發後兩個月，已在暗網公開及供下載，更被不法之徒用來作詐騙。

公署指出，Adastria 管理密碼意識薄弱，例如受影響平台密碼要求只是 6 位數簡單組合，而且兩年來從未更改，但其實服務供應商可提供密碼管理措拖（包括密碼字數要求，定時更改密碼），但 Adastria 未有實施；沒有啟用多重認證功能；缺乏保障個人資料意識，以及從服務使用者角度，對受影響平台進行保安檢視等，認為 Adastria於事發前採取合適及足夠的機構性及技術性措施，相當有機會可避免今次事故。

My Jewelry 7.9 萬名客戶與員工資料遭盜取

至於另一宗事故，涉及光雅珠寶及其零售子公司愛飾，經營「My Jewelry 愛飾珠寶」品牌。事件於去年 11 月 11 日揭發，當時公司發現資訊系統異常，並接獲黑客聲稱已入侵的訊息。經檢查後確認資料庫伺服器內的資料已遭竊取及刪除。

公署調查顯示，黑客透過暴力破解方式，入侵一個仍在運作的高權限帳戶，進而獲取系統存取權限。其後黑客在一部內部開發電腦植入木馬程式，成功掌握可操控資料庫伺服器的程式碼，最終大量個人資料外洩。

是次事件中，受影響人數約 79,400 人，涵蓋公司客戶、在職及離職員工。被竊資料包括姓名、身份證部分號碼、出生年份及月份、電話、地址、電郵、會員編號等，當中員工外洩的資料更包括地址及入職日期。

公署指出，涉事的高權限帳戶屬靜止帳戶，已閒置超過 13 年。

公署認為光雅及愛飾未有即時刪除離職員工帳戶，沒有為帳戶開啟多重認證；資訊系統欠缺有效的保安及偵測措施；伺服器的作業系統已過時；欠缺資訊保安政策及指引；以及未有對資訊系統進行保安評估及審計。

就上述兩宗事故，公署表示遺憾，裁定涉事公司同違反《私隱條例》的保障資料第4（1）原則有關個人資料保安的規定，已發出通知要求他們採取措施糾正違規事項，並防止類似違規情況再次發生。

事後補救措施

事後，Adastria 已通知所有受影響的客戶。Adastria 亦就外洩事件中發現的缺失採取一系列的補救措施，包括啟用受影響平台的保安功能，例如密碼措施、多重認證功能及限制 IP 位址連接功能，以及安裝端點偵測及回應方案以進行偵測及攔截資訊系統中的任何惡意活動。

至於光雅及愛飾，在外洩事件發生後亦已採取改善措施提升資訊系統的保安，包括重設所有用戶的登入密碼、更新伺服器作業系統，防毒軟件及防火牆，以及配置「擴展偵測與回應」工具以對資訊系統進行持續的監察等。此外，光雅及愛飾亦在發生外洩事件後通知所有受影響的資料當事人。