快圖美明知存漏洞仍無更新系統 洩62萬客戶資料 遭黑客勒索

撰文:孔繁栩
出版:更新:

相片沖曬公司快圖美在2021年遭黑客入侵,安裝勒索軟件加密。私隱專員公署今日(14日)公布調查報告,事故影響約62萬名會員及訪客,調查顯示,快圖美所購用的防火牆曾於2019年出現漏洞,惟快圖美明知而未有按照生產商指示,對保密插口層虛擬私有網絡(SSL VPN)採取停用、更新或多重認證等措施。私隱專員鍾麗玲直指,快圖美「對已知風險抱有過份樂觀甚或僥倖心理」,事件令人遺憾。

相片沖曬公司快圖美在2021年遭黑客入侵,安裝勒索軟件加密。(互聯網)

調查報告引述快圖美指出,事件合共影響544,862名會員及73,957名曾在2020 年11月16日至2021年10月26日期間於其網上商店訂購產品或服務的訪客,涉及姓名、電話號碼、電郵及送貨地址等。

防火牆生產商2019年公布有漏洞

快圖美披露,曾於2018年3月向一間服務供應商購買一台防火牆,並於4月安裝及啟用,隨後於2019年3月啟用保密插口層虛擬私有網絡(SSL VPN),以供資訊科技部門遙距登入。

在2019年5月,防火牆生產商表示,留意到有黑客披露其作業系統漏洞,可以繞過保安限制直接取得 SSL VPN 帳戶名稱及密碼,生產商曾呼籲立即停用 SSL VPN 功能,直至更新作業系統及重設所有帳戶密碼,同時建議啟用多重認證。

+1

快圖美:疫情在家工作未有修補

直至2021年10月26日早上,快圖美資訊科技部門發現網上商店及該數據庫無法正常存取,除了該數據庫外,部份位於辦公室的伺服器和電腦同樣遭勒索軟件加密。快圖美委任的兩間資訊科技顧問公司,分別認為快圖美未有安裝修補程式,導致黑客利用相關漏洞勒索,及未有為SSL VPN 啟用多重認證。

快圖美解釋,因應新冠疫情推行在家工作安排,讓員工可使用 SSL VPN 遙距存取其系統,快圖美未有重新評估相關漏洞,致使相關漏洞直至該事件發生時仍未修補。

私隱專員:心存僥倖 令人遺憾

私隱專員公署認為,快圖美錯誤評估保安漏洞的風險,即使早於2019年已知保安漏洞,但內部評估後認為保安措施足夠,未有採取任何行動,快圖美亦沒有妥善管理載有個人資料的資訊系統,及沒有實施多重認證功能。

私隱專員鍾麗玲形容,快圖美「對已知風險抱有過份樂觀甚或僥倖心理,明顯地錯誤評估相關漏洞對其載有個人資料的資訊系統造成的風險,以及一旦遭黑客入侵可能引致的後果,令人遺憾。」私隱專員已依據《私隱條例》,向快圖美送達執行通知,指示糾正違規情況。

被問到快圖美的索償金額,鍾麗玲表示不便透露。她認為,快圖美在事件發生七日後向公署報告,認為已作即時通知,亦非常配合公署的調查。首席個人資料主任郭正熙補充,截至現時為止,暫時未收到快圖美外洩的資料被不當使用。

她又同意,現時執行通知的阻嚇力不夠,正審視現行條例,會參考海外資料保障機構,包括歐盟、內地及新西蘭等,希望可以提供具體建議予政府考慮。