兩零售商資料外洩　涉及14萬客戶和員工資料　私隱專員：機構應投放足夠資源保護

【有線新聞】私隱專員公署公布，兩間零售商資料外洩事故報告，涉及14萬客戶和員工資料，部分個人資料在暗網公開。私隱專員表示，機構應視個人資料為重要資產，投放足夠資源保護。
日本跨國公司「Adastria」的香港網上零售平台發生資料外洩事故，管理的品牌包括「GLOBAL WORK」、「niko and」等近6萬名客戶資料被盜取，姓名、電話、送貨地址等在「暗網」公開。公司去年11月接獲客戶投訴，指收到假冒員工來電，稱購買的產品品質有問題須退款，向客戶索取銀行資料。調查後發現黑客經現職員工的帳戶入侵系統，下載客戶資料。
首席個人資料主任（合規及查總）郭正熙：「『Adastria』的所有用戶，包括管理員帳戶的密碼，都只是六位數字的簡單組合，而且發生外洩事件前兩年都未曾更改。有很多密碼管理措施可以實施，包括最短密碼長度、複雜程度、密碼自動過期設定，甚至帳戶多次登入失敗後自動鎖定，這些功能『Adastria』一一都沒有啟用。」
另一宗事故涉及珠寶公司「光雅」及其子公司「愛飾」，公司去年11月通報近8萬名客戶和員工個人資料外洩，包括身份證號碼、地址。公署發現，黑客透過生成密碼組合「撞入」一個離職員工帳戶。
個人資料私隱專員鍾麗玲：「這個帳戶是靜止帳戶，即是沒有再使用，靜止時間超過13年。大家可以想像，為甚麼一個沒用的帳戶可以留這麼久呢？」
調查亦指出公司的系統防火牆過時，亦沒有啟用多重認證功能。公署裁定兩間企業違反《私隱條例》，已送達執行通知，要求即時採取糾正措施。私隱專員提醒市民要留意在社交平台上載的資料，企業亦可以利用公署網頁的資訊安全快測，免費評估企業系統的安全。