品牌管理公司「俊思」12.7萬會員資料外洩 私隱公署裁定違反《私隱條例》

（獨媒報導）品牌管理及分銷公司「俊思管理有限公司」在去年發生資料外洩事故，12.7萬會員資料外洩，包括品牌Brooks Brothers。個人資料私隱專員公署完成調查，裁定俊思違反《私隱條例》有關個人資料保安的規定。

俊思（IMAGINE X GROUP）是一間品牌管理及分銷公司，為國際時裝及美容品牌提供服務，隸屬The Lane Crawford Joyce Group旗下。該公司在內地管理與分銷Gucci、Prada、Cartier及Salvatore Ferragamo等奢侈品品牌。今次外洩事故涉及俊思營運的兩個會員計劃ICARD及Brooks Brothers，其中ICARD更涵蓋7個品牌，包括Birkenstock、Paul Smith、Club Monaco及Apivita等。

黑客入侵防火牆設立臨時用戶帳戶 再橫向移動入侵伺服器

該公司去年5月31日向私隱專員公署通報資料外洩事故，稱在5月15日收到黑客的勒索訊息，聲稱遭竊取其資料並威脅出售相關資料。個人資料私隱專員公署今早舉行記者會，交代調查詳情。

公署調查發現，黑客在去年5月4日入侵俊思在4月24日在防火牆設立的臨時用戶帳戶，該帳戶是為供應商作系統緊急遠端支援的用途所設立，黑客利用該帳戶取得進入進施網絡的訪問權限。在取得訪問權限後，黑客在俊思的網絡進行橫向移動，並利用一個應用程式伺服器上以終止支援的操作系統的保安漏洞，進一步入侵網絡控制器及其他再有個人資料的伺服器。

外洩個人資料涉會員姓名等 及僱員護照副本

調查顯示，外洩事件導致68GB的資料從俊思的網絡外洩，並導致共4台伺服器及5個系統帳戶被入侵。在今次外洩事故，俊思旗下的兩個會員計劃即ICARD會員計劃及Brooks Brother會員計劃，分別有100,185名會員、27,069名會員受影響，即共127,268名人士個人資料外洩，當中包括14名俊思現職僱員及前僱員等，涉及的個人資料包括會員姓名、電郵地址、電話號碼、出生月份、性別及國籍，及僱員的護照副本等。

在外洩事件發生後，俊思已通知受影響的資料當事人，並為他們提供支援，包括進行暗網監控及設立特定電郵地址以處理查詢。公署指出，俊思亦採取一系列的補救措施以提升系統安全，包括刪除相關被入侵的帳戶、更換以終止支援的應用程式伺服器，及安裝端點偵測及回應方案，以進行即時偵測及分析。

事故涉4大原因 包括未有適時刪除臨時帳戶

針對今次外洩事故，私隱專員公署共進行6次查訊，並審視俊思提供的資料，認為今次外洩事故涉及4大原因，即未有在修復系統故障後適時刪除臨時帳戶；使用已被終止支援的操作系統；資訊系統欠缺有效的偵測措施，及對資訊系統進行的保安風險評估及審計不足。

個人資料私隱專員鍾麗玲表示，假如俊思在事發前及時刪除相關帳戶，及停止使用已終止支援的操作系統，今次事件是有相當機會可以避免。鍾麗玲又裁定，俊思沒有採取所有切實可行的步驟以確保涉事的個人資料受保障，而不受未獲准許或以外的查閱、處理、刪除、喪失或使用所影響，因而違反《私隱條例》的保障資料第4（1）原則有關個人資料保安的規定。

公署提醒採用「最小權限」原則 停止使用已被終止支援軟件

另外，私隱專員公署已向俊思送達執行通知，指示其採取措施已糾正違規事項。公署同時提醒，所有持有個人資料的機構應防範於未然，建議應採用「最小權限」的原則，及角色為本的存取管控機制，定期檢視帳戶權限及刪除不必要的帳戶；停止使用已被終止支援的軟件，或適時更新軟件；實施有效措施以預防、偵測及應對網絡攻擊，從而減低資料外洩的風險，包括定期進行流動掃描，以及適時修補保安漏洞；及定期為資訊系統進行全面的保安風險評估及審計。