營銷公司系統被入侵 涉多個國際品牌 受影響人數龐大 恐遠超3.5萬人
本港再發生大型資料外洩事件,數碼營銷公司Fimmick早前遭勒索軟件攻擊,導致客戶資料外洩。個人資料私隱專員公署表示已在本月12日展開調查,目前至少涉及10個國際及本地品牌,包括歐萊雅香港(L’Oreal)、保柏(亞洲)、可口可樂中國、香港麥當勞等。公署說,受影響人數可能龐大,目前評估人數可能超過3.5萬人,呼籲受影響機構盡快通報公署。
Fimmick在事後已刪去公司網頁中的客戶名單,根據截至9月底的網上紀錄,Fimmick客戶還包括牛奶公司旗下惠康、Yuu、友邦保險(AIA)、三星等數十家企業。目前未知上述Fimmick企業客戶是否也受資料外洩影響。
Fimmick回應時表示,近日遭受勒索軟件攻擊,發現未經授權入侵系統,在10月15日發現REvil上載檔案分享連結,當中包括從Fimmick系統盜取的資料,包括企業客戶的客戶資訊,已經即時安排移除該連結。Fimmick又稱,將全力配合警方、私隱專員公署及電腦保安事故協調中心等調查事件。
外國科技網站ZDNet本月初率先報導,香港的Fimmick公司被勒索軟件REvil入侵,造成資料外洩。根據香港私隱專員公署今日(21日)公布,Fimmick的電腦系統在9月曾遭勒索軟件攻擊,導致Fimmick處理的個人資料外洩,在10月4日起接獲Fimmick及客戶通報資料外洩。Fimmick在回應中無提及私隱專員公署引述9月時被勒索軟件攻擊,只提及10月15日發現有關情況。
在受影響客戶中,已證實歐萊雅香港的客戶受事件影響,包括客戶姓名、電話號碼、電郵地址、住宅、出生月份、Facebook賬戶及Facebook電郵地址等資料可能外洩。Fimmcik稱,受影響不包括任何身分證資料、政府個人身份標識符、信用卡資料或戶口登錄驗證資訊。
此外,9間Fimmick的企業客戶也就今次通報正調查資料外洩事故,分別涉及:
• 保柏(亞洲)有限公司 Bupa (Asia) Limited
• 可口可樂中國有限公司 Coca-Cola China Limited
• 歐洲坊控股有限公司 Europe Group Holdings Limited
• 綠坊市場發展有限公司 Green Square Marketing Limited
• 美贊臣營養品(香港)有限公司 Mead Johnson Nutrition (Hong Kong) Limited
• 曼秀雷敦(亞洲太平洋)有限公司 Mentholatum (Asia Pacific) Limited
• 香港麥當勞 MHK Restaurants Limited
• 雀巢香港有限公司 Nestle Hong Kong Limited
• 利潔時有限公司 Reckitt Benckiser Hong Kong Limited
其中,雀巢香港回覆說,其代理夥伴Fimmick CRM指,暫時沒有證據顯示有雀巢客戶資料被不恰當地使用,但不排除有部份資料有機會被洩漏。雀巢香港說,Fimmick現階段並不確定有何資訊被盜取,而他們管有的資訊只有基本個⼈資料 (但不包括任何信用卡及密碼資料)。可口可樂回覆說,根據Fimmick提供的信息,目前沒有證據表明任何數據在此次事件中受到波及。
此外,Fimmick公司網頁在9月曾顯示多個大型企業也是其客戶,當中包括號稱有350萬客戶的Yuu用戶計劃、惠康、馬會、蜆殼公司、三星、友邦(AIA)、喜來登酒店、卡塔爾航空、全日空等。
友邦香港回覆查詢稱,Fimmick為他們提供的服務並不牽涉任何客戶資料,公司亦没有受是次事件影響,並强調一向非常重視網絡安全,有一套完善的監察及安全守則,全力保護客戶及公司資料。
至於Fimmick則稱,事件的電子數據調查仍在進行中,現階段沒有證據顯示其他企業客戶的資料被洩漏或未經授權發布,或任何有關客戶會員計劃的資料被洩漏。
個人資料私隱專員鍾麗玲呼籲,曾向上述公司提供個人資料的市民,不論是會員或透過網上訂購產品的客戶均應提高警惕,慎防個人資料被盜用,並呼籲受影響機構盡快通報公署,及通知受影響客戶。
根據Fimmick網頁資料,該公司在2008年成立,從事數碼營銷。其中一名創辦人姚金鴻曾參與多個業界及非政府組織,包括擔任無線科技商會主席、團結香港基金顧問等。
觀看原文: 按此連結