SanrioTown 330萬用戶資料網上暴露
【明報專訊】以Hello Kitty聞名的日本公司Sanrio,有份經營的網站SanrioTown被揭發有保安漏洞,未能防範黑客入侵,330萬會員的個人資料可被外泄,包括姓名、電郵地址、已加密的登入密碼及出生日期等。路透社引述網絡保安專家指出,會員的付款資料也有可能外泄。Sanrio Digital發聲明向會員致歉,承認有保安漏洞,但堅稱會員的信用卡資料安全,密碼亦有加密。香港個人資料私隱專員公署關注事件,已聯絡該公司了解。
Sanrio稱已補漏洞 指信用卡資料安全
多間通訊社引述美國網絡保安網站CSO稱,研究員Chris Vickery發現有黑客入侵以香港為基地的SanrioTown,除上述個人資料外,連忘記登入密碼的提示問題都暴露於網絡。Vickery在報告中指出,網站有保安漏洞,任何人只要知道個別伺服器的IP位址,便可取得會員資料。SanrioTown設討論區及線上遊戲,另一保安公司RSA的代表指出,這類型網站很可能擁有會員的付款資料,在今次事件中有外泄風險。
Sanrio與遊戲公司合營的Sanrio Digital發聲明,承認網站有保安漏洞,令330萬名會員的個人資料「可被公眾接觸(publicly accessible)」,但不包括信用卡或其他付款資料,目前也未有證據顯示資料遭不法分子盜取。另外,該網站的會員登記與集團旗下其他網站不互通。該公司向會員致歉,稱保安漏洞已修復,同時通知會員更改密碼;並會作內部調查,及加強網站保安措施。
私隱署關注 聯絡公司了解
香港個人資料私隱專員公署稱非常關注事件,因牽涉人數非常龐大,且可能涉及兒童的個人資料。署方已初步聯絡該網站在香港的公司,若發現外泄的資料在香港操控,會考慮展開循規審查。
今次事件是短期內第二個同類網站受襲,嬰幼兒及學前兒童電子學習產品生產商偉易達集團上月公布,逾百萬名曾透過旗下網站Learning Lodge下載應用程式及電子書的客戶資料外泄。該公司因此短暫停牌。