国际连锁服装公司的客户个人资料系统遭未获授权查阅 — 保障资料第4原则 — 个人资料的保安
背景
一间国际连锁服装公司向私隐公署通报,指其载有电子商务客户及忠诚计划会员的客户个人资料系统被勒索软件攻击,导致资料外泄事故,涉及约 200,000 客户纪录,包括姓名、电话号码、电邮地址、性别及年龄组别。
该公司聘请独立顾问就该事故作出调查。调查结果显示该公司未能发现一个已为人知可被攻击的漏洞,让攻击者成功透过该漏洞,使用有效凭证资料登入客户个人资料系统,于该公司的网络安装勒索软件。
补救措施
该公司采取了下述的补救措施:
借鉴
资料使用者应定期检视及监察其网络的保安措施,并适时进行测试及安装相关系统的保安修补。资料使用者亦应把个人资料的保存期限,设定为不长于为完成收集个人资料目的之所需时间。保存期限越短,保安风险亦会越低。
上载日期:2022年6月