個人資料私隱專員公署完成調查「俊思管理有限公司」去年5月發生的資料外洩事故,裁定俊思違反《私隱條例》有關個人資料保安的規定。
俊思集團(IMAGINE X GROUP)隸屬The Lane Crawford Joyce Group旗下,是一間品牌管理及分銷公司,在中國大陸管理與分銷Gucci、Prada、Cartier及Salvatore Ferragamo等奢侈品品牌。外洩事故涉及俊思營運的兩個會員計劃ICARD及Brooks Brothers,其中ICARD涵蓋7個品牌,包括Birkenstock、Paul Smith、Club Monaco及Apivita等。
事故中有超過10萬名ICARD會員、2.7萬名Brooks Brother會員及14名現職及前僱員資料外洩,包括他們的姓名、電話號碼、電郵地址、出生月份,及僱員的護照副本等,目前未有資訊顯示外洩資料在暗網被加密或售賣。
公署認為俊思未有在修復系統故障後適時刪除臨時帳戶,屬於員工疏忽;又繼續使用在2020年12月後已被終止安全更新的操作系統,令伺服器暴露在風險中超過3年;資訊系統欠缺有效的偵測措施,以及保安風險評估及審計不足。公署認為假如俊思於事發前及時刪除該臨時帳戶及停用已終止支援的操作系統,相當有機會可以避免資料外洩。
公署要求俊思兩個月內交改善措施證明
公署已在上周五向俊思送達執行通知,要求刪除不必要帳戶,制定有關管理帳戶的指引及步驟,全面審視伺服器是否已停用終止支援的軟件,並要求在兩個月內提交改善措施的證明文件。
公署指,俊思在外洩事件發生後已通知所有受影響人士,並進行暗網監控及設立特定電郵地址以處理相關會員查詢;亦已刪除相關被入侵的帳戶、更換已終止支援的應用程式伺服器,以及安裝端點偵測及回應方案,以進行即時偵測及分析。
