俊思網安大穿窿 洩12萬人資料

有品牌管理及分銷公司營運的兩個會員計劃，涉遭黑客竊取資料，影響高達12.7萬人，包括會員、機構職員及前僱員等。個人資料私隱專員鍾麗玲指，涉事公司在去年5月底通報，指在同年5月中收到黑客勒索訊息，聲稱竊取並威脅出售相關個人資料，包括姓名、電郵地址、電話號碼、護照副本等。個人資料私隱專員公署經調查後，認為外洩事件是由於人為疏忽，以及欠缺足夠的保安措施保障資訊系統引致，故裁定涉事公司違反《私隱條例》。

涉事的「俊思管理有限公司」（俊思）為國際時裝及美容品牌提供服務，並為其旗下的合作品牌管理會員計劃。公署指，在去年5月31日接獲俊思通報，稱在同月15日收到黑客勒索，經調查後發現，原來黑客在同月4日入侵俊思的臨時用戶帳戶。相關帳戶在去年4月24日於防火牆設立，目的是為讓供應商作系統緊急遠端支援，而黑客通過帳戶取得進入俊思網絡的訪問權限，取得權限後更作橫向移動，利用一個應用程式伺服器上已終止支援的操作系統的保安漏洞，進一步入侵網域控制器，以及其他載有個人資料的伺服器，合計有4台伺服器及5個系統帳戶在事件中被入侵，結果造成約68GB的資料從俊思網絡外洩。

鍾麗玲指，今次外洩事件合共影響12萬7268人的個人資料，涉及2個會員計劃，包括「ICARD 會員」下的10萬185人，及「Brooks Brothers 會員」下的27069人，涉及的個人資料包括會員的姓名、電郵地址、電話號碼、出生月份、性別及國籍等。同時，有14名俊思現職僱員及前僱員的資料外洩，包括其護照副本等。而俊思在外洩事件發生後已通知所有受影響人士，並提供支援，包括進行暗網監控及設立特定電郵地址以處理相關查詢。
無刪臨時帳戶及已停用系統

鍾麗玲續指，公署就外洩事件共進行6次查訊，並審視俊思的調查報告等資料，最終認為事件是由於人為疏忽，及欠缺足夠的保安措施保障資訊系統造成，「若俊思在事發前及時刪除相關帳戶及停止使用已終止支援的操作系統，外洩事件相當有機會可以避免」。故裁定俊思沒有採取所有切實可行的步驟，以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，因而違反《私隱條例》，已向俊思送達執行通知，指示採取措施以糾正違規事項，以及防止類似違規情況再次發生。

俊思回覆《星島》指，集團非常重視網絡安全，亦感謝個人資料私隱專員公署在調查結果報告中的建議，又透露在過去9個月已實施多項措施加強系統，並將執行調查結果中規定的其他需要改進的領域措施，以防止將來發生類似事件，並會繼續採取必要措施，保護集團免受任何未來的攻擊。