Skip to content

个案简述

个案简述

有关客户资料的个案简述

参考编号.:2016DB01

11,655名香港客户信用卡资料遭零日恶意程式入侵 — 保障资料第4原则 — 个人资料的保安

背景

据本地报章报道,一间国际酒店集团的信用卡系统遭零日恶意程式入侵,因此曾在该酒店集团使用信用卡购买其产品及服务之客户的姓名及信用卡号码有可能遭外泄。该酒店集团后来向私隐公署表示事件涉及旗下两间位于香港的酒店,合共影响11,655组信用卡资料。

该酒店解释,它在2015年2月获瑞士信用卡处理中心通知,其资讯系统可能遭恶意程式攻击。法证调查结果显示,黑客为了可以获得信用卡资料,曾透过旗下一部位于印尼雅加达酒店的伺服器进入集团网络,利用拥有管理员权限的系统帐户在全球系统内种植恶意程式。有关调查表示并没有证据证明信用卡资料遭泄漏或从其系统中删除。

该酒店集团事发后立即通知所有受影响的客户(包括香港客户),引入抗电脑病毒解决方案的服务提供者制定新病毒数据以删除有关恶意程式,更新所有系统密码,封锁所有不必要的网络服务,及切断过时伺服器与网络的连接,以遏制事故。

补救措施

该酒店集团采取了下述补救行动,防止日后再发生类似事件:

  1. 实施一份“二进制白名单”,避免未获授权的原码及/或软件在其网络中执行;
  2. 为管理员帐户及远端存取帐户进行定期审计,减低可能损害其网络的潜在风险;
  3. 改善重要系统或该些载有特别权限系统的记录设定,以提升追踪性及问责性;及
  4. 提高对外互联网连接权限,以防范恶意通讯。

上载日期:2022年7月


个案种类 : 按条例规定/保障资料原则/实务守则/指引分类: 按题目/内容分类: