私隱署公布兩個零售集團資料外洩事故 近14萬客戶及員工個人資料遭黑客盜取
發佈日期: 2025-08-21 13:02
港澳
私隱專員公署公布兩個零售集團個人資料外洩事故調查報告,合共近14萬客戶和員工個人資料遭黑客竊取,部分客戶資料更被用作詐騙,並在「暗網」公開。
其中一宗涉及資料外洩的是日本服裝跨國企業ADASTRIA,旗下多個品牌,包括「niko and...」、LOWRYS FARM等,在香港設有多間分店。私隱專員公署指,去年11月集團通報,稱收到四名客戶投訴,接獲聲稱公司員工的人致電,因退貨事宜索取客戶的銀行戶口資料。之後發現逾5.9萬名客戶個人資料外洩,更在「暗網」公開,可供下載。
公署調查發現,該公司平台對密碼管理薄弱,未為帳戶啟用多重認證功能,導致黑客能夠利用一名現有職員帳戶,再入侵客戶資料電子平台,從而下載當中的訂單資料。公司事後通知受影響客戶及加強網絡保安措施。
個人資料私隱專員鍾麗玲指出︰「零售業機構,他們持有大量客戶的個人資料,一宗事故中更有證據明確顯示,客戶資料外洩後,在「暗網」被人公開,被不法之徒用來進行詐騙。可以看到,這些資料外洩個案,和個人資料被販賣圖利,以及被用作形形色色的詐騙用途不無關係。」
另一宗事故涉及的是本地珠寶零售公司「光雅」及其子公司「愛飾」,約7.5萬名客戶,及約4,400名現職和前員工的個人資料遭黑客盜取。
公署調查發現,黑客是透過一名已離職13年,負責程式開發的員工資料入侵該公司內部系統。
公署認為有關公司存在多項缺失,包括未有即時刪除離職員工帳戶,亦未有意識到資訊系統存在保安風險、伺服器作業系統過時等,裁定其違反《私隱條例》。
公署建議,受影響客戶應即時更改網上會員帳戶及銀行戶口密碼。
私隱專員建議,機構應該視持有的個人資料為重要資產,投放足夠資源在網絡保安及數據安全,及時更新過時的資訊系統。
