知漏不補 快圖美泄54萬會員資料 未按保安建議停用VPN 私隱公署批僥倖心理
【明報專訊】大型連鎖冲印店「快圖美」去年10月遭黑客以勒索軟件攻擊,個人資料私隱專員公署昨發表調查報告,披露事件涉及54.5萬名會員及7.4萬名客戶的個人資料泄漏。報告揭露快圖美2019年已得知系統存保安漏洞,黑客可取得用作遙距登入的VPN帳戶,但快圖美未有執行補救措施;直至疫情安排員工在家工作,原只限資科部使用的VPN擴至其他員工,快圖美仍無重新評估漏洞。私隱專員鍾麗玲斥快圖美抱「過分樂觀甚或僥倖心理」,公署已就快圖美違反《私隱條例》發出執行通知,要求糾正及防止同類行為發生。
公署去年11月1日接獲快圖美資料外泄事故通報,稱網上商店數據庫去年10月26日遭勒索軟件攻擊及惡意加密。事件影響544,862名會員及73,957名前年11月16日至去年10月26日的網上顧客,相關資料包括姓名、出生日期、電話號碼及聯絡地址等。公署去年12月展開調查,暫未見泄漏的資料遭到不當使用。
快圖美稱有設防勒索軟件 評估後毋須修補
報告稱,快圖美的防火牆生產商2019年5月在其網站發出保安建議,稱留意到有黑客披露其系統漏洞,攻擊者可直接取得保密插口層虛擬私有網絡(SSL VPN)的帳戶名稱及密碼,並於系統執行任何程式。生產商呼籲用家停用VPN功能,直至更新系統及重設所有帳戶密碼,又建議採多重認證,但快圖美未有按建議修補漏洞。
疫下在家工作擴VPN 「為期不長」夠防範
快圖美向公署承認2019年9月已知悉相關漏洞,稱因已設置防毒軟件、防勒索軟件程式及防火牆等措施,經諮詢服務供應商及內部評估後,認為毋須安裝修補程式,加上當時VPN僅供資訊科技部門需要時遙距登入系統,故未詳細評估漏洞。快圖美又稱,每次推出在家工作為期不長,評估後認為當時保安措施已夠防範網絡攻擊。
報告批評快圖美多方面存嚴重不足,包括誤評保安風險、資訊系統管理不善、拖延啟用多重認證功能,對為期共約3個月的在家工作安排採輕率態度,未有評估風險及採取適當資料保安措施,容許載有個人資料的資訊系統暴露在已知風險。鍾麗玲稱快圖美無即時採取措施保障客戶個人資料,違反《私隱條例》規定。快圖美若不遵從執行通知,最高可罰款5萬元及監禁兩年。
