國際連鎖服裝公司的客戶個人資料系統遭未獲授權查閱 — 保障資料第4原則 — 個人資料的保安
背景
一間國際連鎖服裝公司向私隱公署通報,指其載有電子商務客戶及忠誠計劃會員的客戶個人資料系統被勒索軟件攻擊,導致資料外洩事故,涉及約 200,000 客戶紀錄,包括姓名、電話號碼、電郵地址、性別及年齡組別。
該公司聘請獨立顧問就該事故作出調查。調查結果顯示該公司未能發現一個已為人知可被攻擊的漏洞,讓攻擊者成功透過該漏洞,使用有效憑證資料登入客戶個人資料系統,於該公司的網絡安裝勒索軟件。
補救措施
該公司採取了下述的補救措施:
借鑑
資料使用者應定期檢視及監察其網絡的保安措施,並適時進行測試及安裝相關系統的保安修補。資料使用者亦應把個人資料的保存期限,設定為不長於為完成收集個人資料目的之所需時間。保存期限越短,保安風險亦會越低。
上載日期:2022年6月