旅行社的客户数据库遭黑客入侵 — 保障资料第4原则 — 个人资料的保安
背景
在年内发生的数家旅行社的数据库遭黑客入侵的个案当中,其中一间旅行社的客户数据库遭黑客加密,被勒索赎金以换取解密钥匙。该客户数据库涉及约20万名自2014年3月起的客户的个人资料,包括姓名、身份证号码、护照号码、电话、电邮地址、信用卡资料、邮寄地址及/或购买纪录。该旅行社拒绝交付赎金并报警。私隐公署从传媒得悉事件后主动展开循规审查。
补救措施
事发后,该旅行社聘请了两间网络保安公司分别调查黑客入侵系统的方法和提供加强网络安全的建议。为减低受到网络攻击的风险,该旅行社提升其整体的网络保安,包括加设网络应用防火墙、于遥距存取采用双重认证、为客户数据库进行加密和离线备份、定期进行渗透测试和漏洞扫描等。
该旅行社亦检视了其资料收集和保留的做法,停止收集信用卡保安码和身份证号码,及将信用卡号码的保留期限由一年缩短至半年,以减低外泄敏感个人资料的风险。
上载日期:2022年7月