niko and…驚爆洩漏14萬人私隱|密碼竟是6位數字!私隱專員披露:離職13年帳戶都唔剷?
私隱專員公署今午披露 兩大零售商驚人漏洞
私隱專員公署今日召開記者會,點名批評日本跨國公司「Adastria」及本地珠寶公司「光雅」因網絡保安嚴重不足,導致大規模個人資料外洩。「Adastria」旗下擁有多個港人熟悉的品牌,包括「GLOBAL WORK」、「niko and…」等,事件中近60,000名客戶的姓名、電話及送貨地址等資料被盜取,更被放到「暗網」公開。部分客戶事後更收到假冒員工的詐騙電話,聲稱產品有問題要求退款,藉機索取銀行資料。而「光雅」及其子公司「愛飾」亦有近80,000名客戶和員工的資料外洩,當中更包括身份證號碼及地址等極度敏感的資訊。公署直斥兩間企業嚴重違反《私隱條例》,已發出執行通知,要求立即糾正。
私隱專員鍾麗玲炮轟:「靜止帳戶竟留足13年?」
公署在調查報告中,毫不留情地揭露了兩間公司的保安漏洞,情況令人咋舌。個人資料私隱專員鍾麗玲在記者會上,對「光雅」珠寶的疏忽表示難以置信,更直接質問:「這個帳戶是靜止帳戶,即是沒有再使用,靜止時間超過13年。大家可以想像,為甚麼一個沒用的帳戶可以留這麼久呢?」原來黑客正是透過暴力破解一個已離職長達13年員工的帳戶成功入侵。至於「Adastria」的情況同樣誇張,首席個人資料主任郭正熙披露:「『Adastria』的所有用戶,包括管理員帳戶的密碼,都只是六位數字的簡單組合,而且發生外洩事件前兩年都未曾更改。」他補充,公司完全沒有啟用任何密碼管理措施,例如密碼複雜度要求、自動過期設定等,形同虛設。
駭客入侵手法全公開 兩大公司保安漏洞逐個數
根據公署的調查,兩宗嚴重外洩事故的起因,均源於企業對網絡安全的基本責任視若無睹。駭客的入侵手法雖然不同,但都成功利用了公司顯而易見的防護漏洞。在「Adastria」的個案中,黑客是經由一名現職員工的帳戶入侵系統,再下載大量客戶資料。其致命漏洞包括:全公司,甚至連管理員的密碼都只是極易破解的6位數字組合,而且長達兩年未改;系統亦未有設定密碼複雜度、自動過期、或登入失敗後自動鎖定等基本保安功能。而在「光雅」珠寶的個案中,黑客則是透過「撞密碼」方式,成功登入一個已離職超過13年的「靜止帳戶」。公署更發現該公司的系統防火牆版本早已過時,亦沒有啟用多重認證功能,令黑客如入無人之境。
網民洗版怒轟:「以後唔敢再幫襯!」
消息一出,隨即引起網民恐慌及憤怒,大批曾光顧的市民湧入各大討論區留言,狠批兩間公司罔顧客戶私隱,做法不能接受。網民一面倒怒轟:「niko and…成日買,原來密碼咁廢,我啲資料咪通街都係?」、「離職13年都唔剷account?間公司IT係咪瞓著咗?」、「身份證號碼都漏埋,真係太離譜!以後唔敢再幫襯!」、「終於明點解成日收到詐騙電話,原來係你哋賣咗我!」、「罰佢哋啦!唔罰唔會驚!」不少網民表示對相關品牌大失所望,更擔心個人資料已被不法之徒盜用作其他非法用途,後果不堪設想。
