Skip to content

個案簡述

個案簡述

有關互聯網的個案簡述

參考編號.:2021DB01

國際連鎖服裝公司的客戶個人資料系統遭未獲授權查閱 — 保障資料第4原則 — 個人資料的保安

背景

一間國際連鎖服裝公司向私隱公署通報,指其載有電子商務客戶及忠誠計劃會員的客戶個人資料系統被勒索軟件攻擊,導致資料外洩事故,涉及約 200,000 客戶紀錄,包括姓名、電話號碼、電郵地址、性別及年齡組別。

該公司聘請獨立顧問就該事故作出調查。調查結果顯示該公司未能發現一個已為人知可被攻擊的漏洞,讓攻擊者成功透過該漏洞,使用有效憑證資料登入客戶個人資料系統,於該公司的網絡安裝勒索軟件。

補救措施

該公司採取了下述的補救措施:

  1. 通知受該事故影響的所有客戶;
  2. 掃描系統尋找出所有已識辨的漏洞並作出修補;
  3. 加強監控系統的保安偵測及保護措施;
  4. 登入系統採用多重身份認證;及
  5. 設定資料的保存期限,每年刪除過時的資料。

借鑑

資料使用者應定期檢視及監察其網絡的保安措施,並適時進行測試及安裝相關系統的保安修補。資料使用者亦應把個人資料的保存期限,設定為不長於為完成收集個人資料目的之所需時間。保存期限越短,保安風險亦會越低。

上載日期:2022年6月


個案種類 : 按條例規定/ 保障資料原則/ 實務守則/ 指引分類 : 按題目/內容分類: