日期: 2021年10月21日
數碼營銷公司電腦系統遭勒索軟件攻擊
私隱專員展開調查
個人資料私隱專員公署(私隱公署)於2021年10月4日起陸續接獲Fimmick CRM Limited(Fimmick)及其企業客戶的資料外洩事故通報,指Fimmick的電腦系統曾於2021年9月遭勒索軟件攻擊,導致由Fimmick處理的部份個人資料外洩。
根據資料,Fimmick是一家總部位於香港的數碼營銷公司,向企業客戶提供數碼營銷及客戶關係管理等服務。考慮到Fimmick持有及處理多間香港公司的客戶個人資料,當中包括姓名、出生日期、電話號碼、電郵地址及住址資料等,而受是次事件影響的人數可能龐大(到目前為止,受事件影響人數可能超過35,000名,而實際數字有待Fimmick核實),私隱公署已於10月6日聯絡Fimmick跟進事件,並於10月12日就事件展開調查。私隱公署於10月20日收到Fimmick所提供的進一步資料。
截至今日(10月21日),私隱公署得悉歐萊雅香港有限公司 L’Oreal Hong Kong Limited的客戶證實受事件影響,外洩個人資料包括姓名、電話號碼、電郵地址、住址、出生月份、Facebook帳戶名稱及Facebook電郵地址等個人資料。此外,私隱公署共接獲另外9間公司(Fimmick的企業客戶)就事件作出的資料外洩事故通報,告知相關事件仍在調查中:
-
保柏(亞洲)有限公司 Bupa (Asia) Limited
-
可口可樂中國有限公司 Coca-Cola China Limited
-
歐洲坊控股有限公司 Europe Group Holdings Limited
-
綠坊市場發展有限公司 Green Square Marketing Limited
-
美贊臣營養品(香港)有限公司 Mead Johnson Nutrition (Hong Kong) Limited
-
曼秀雷敦(亞洲太平洋)有限公司 Mentholatum (Asia Pacific) Limited
-
香港麥當勞 MHK Restaurants Limited
-
雀巢香港有限公司 Nestle Hong Kong Limited
-
利潔時有限公司 Reckitt Benckiser Hong Kong Limited
個人資料私隱專員(私隱專員)鍾麗玲呼籲曾向上述公司提供個人資料的市民,包括成為有關產品會員或經網上訂購產品的客戶,提高警惕,慎防個人資料被盜用。若懷疑個人資料被外洩,可聯絡有關公司查詢,亦可以向私隱公署(電話:2827 2827、電郵:communications@pcpd.org.hk)作出查詢或投訴。受影響市民為保障個人資料私隱,應採取以下措施:-
-
更換所登記帳戶及若有需要其他平台帳戶的密碼;
-
啟用帳戶登入雙重認證功能(如有);
-
留意所登記的帳戶及個人電郵有沒有不尋常的登入記錄;及
-
收到不明來歷或可疑的來電、短訊或電郵時要提高警覺。
私隱專員亦建議受到是次事件影響的機構,若認為事件涉及外洩客戶的個人資料,應盡快向私隱公署作出通報,並通知受影響的客戶。
私隱專員提醒機構,根據《個人資料(私隱)條例》,機構必須採取有效的保安措施妥善保障客戶的個人資料。若聘用外判服務供應商作為資料處理者,機構仍須採取合約規範方法或其他方法,以防止個人資料未獲准許或意外地被查閱、處理、喪失或使用。
-完-