香港私隐公署公布两起零售商信息外泄事故报告　有个人信息暗网被公开

主要观点总结

香港个人资料私隐专员公署发表两份关于个人信息外泄事故的调查报告。两份报告涉及两家零售公司，分别是珠宝公司和一家跨国服装公司，均违反了《个人资料（私隐）条例》的相关规定。黑客攻击导致大量客户个人资料和员工资料外泄，其中珠宝公司的受影响资料当事人约79400名，服装公司的受影响资料涉及59205名客户。私隐专员提醒机构应加强个人资料的保护，采取合适的安全措施。

关键观点总结

关键观点1: 两起个人信息外泄事故涉及香港两家零售公司

一起涉及珠宝公司及其母公司共用的信息系统资料被黑客盗取和删除，另一起涉及一家跨国服装公司的客户关系管理平台和电子商务平台遭受未授权第三方入侵。

关键观点2: 受影响的个人资料数量巨大

珠宝公司的受影响资料当事人约79400名，其中超过75000名是公司客户；服装公司的受影响的个人资料涉及59205名客户。

关键观点3: 黑客利用系统漏洞获得管理员权限

在珠宝公司的案例中，黑客通过暴力攻击取得一个静止超过13年的、具系统管理员权限的帐户，并在内部开发及编程的桌上电脑注入木马程式。

关键观点4: 外泄的个人资料被公开用于不法行为

在外泄事故发生后约两个月，受影响的个人资料被不法之徒在「暗网」公开并可下载，亦有证据显示这些资料被用于诈骗用途。

关键观点5: 私隐专员提出加强个人资料的保护措施

私隐专员提醒机构应该投放足够的资源保障所持有的个人资料，采取合适的措施包括停用已被终止授权的软件、加强信息系统的密码管理，以及定期进行全面保安风险评估及审计等。