Skip to content

個案簡述

個案簡述

有關保障資料第4原則 - 個人資料的保安的個案簡述

參考編號.:2016DB01

11,655名香港客戶信用卡資料遭零日惡意程式入侵 — 保障資料第4原則 — 個人資料的保安

背景

據本地報章報道,一間國際酒店集團的信用卡系統遭零日惡意程式入侵,因此曾在該酒店集團使用信用卡購買其產品及服務之客戶的姓名及信用卡號碼有可能遭外洩。該酒店集團後來向私隱公署表示事件涉及旗下兩間位於香港的酒店,合共影響11,655組信用卡資料。

該酒店解釋,它在2015年2月獲瑞士信用卡處理中心通知,其資訊系統可能遭惡意程式攻擊。法證調查結果顯示,黑客為了可以獲得信用卡資料,曾透過旗下一部位於印尼雅加達酒店的伺服器進入集團網絡,利用擁有管理員權限的系統帳戶在全球系統內種植惡意程式。有關調查表示並沒有證據證明信用卡資料遭洩漏或從其系統中删除。

該酒店集團事發後立即通知所有受影響的客戶(包括香港客戶),引入抗電腦病毒解決方案的服務提供者制定新病毒數據以删除有關惡意程式,更新所有系統密碼,封鎖所有不必要的網絡服務,及切斷過時伺服器與網絡的連接,以遏制事故。

補救措施

該酒店集團採取了下述補救行動,防止日後再發生類似事件:

  1. 實施一份「二進制白名單」,避免未獲授權的原碼及/或軟件在其網絡中執行;
  2. 為管理員帳戶及遠端存取帳戶進行定期審計,減低可能損害其網絡的潛在風險;
  3. 改善重要系統或該些載有特別權限系統的記錄設定,以提升追蹤性及問責性;及
  4. 提高對外互聯網連接權限,以防範惡意通訊。

上載日期:2022年7月


個案種類 : 按條例規定/ 保障資料原則/ 實務守則/ 指引分類 : 按題目/內容分類: