旅行社的客戶數據庫遭黑客入侵 — 保障資料第4原則 — 個人資料的保安
背景
在年內發生的數家旅行社的數據庫遭黑客入侵的個案當中,其中一間旅行社的客戶數據庫遭黑客加密,被勒索贖金以換取解密鑰匙。該客戶數據庫涉及約20萬名自2014年3月起的客戶的個人資料,包括姓名、身份證號碼、護照號碼、電話、電郵地址、信用卡資料、郵寄地址及╱或購買紀錄。該旅行社拒絕交付贖金並報警。私隱公署從傳媒得悉事件後主動展開循規審查。
補救措施
事發後,該旅行社聘請了兩間網絡保安公司分別調查黑客入侵系統的方法和提供加強網絡安全的建議。為減低受到網絡攻擊的風險,該旅行社提升其整體的網絡保安,包括加設網絡應用防火牆、於遙距存取採用雙重認證、為客戶數據庫進行加密和離線備份、定期進行滲透測試和漏洞掃描等。
該旅行社亦檢視了其資料收集和保留的做法,停止收集信用卡保安碼和身份證號碼,及將信用卡號碼的保留期限由一年縮短至半年,以減低外洩敏感個人資料的風險。
上載日期:2022年7月