未及时修补安全漏洞,本地珠宝商家Goldheart遭黑客入侵窃取逾4万名顾客的资料,被个人资料保护委员会罚款5万8000元。
这起资料外泄事件发生在2023年5月26日,Goldheart当时发现系统遭入侵,共有4万1379名客户的资料外泄,不明人士甚至将外泄的资料放到网上论坛。
Goldheart请专业顾问调查事件后,发现协助管理网站的外包供应商没有及时修补网络安全漏洞,造成黑客有机可乘,远程入侵系统窃取资料。
外泄的资料包括客户的姓名、电邮地址和生日。另外,大约3500名顾客的联络号码和账单地址外泄,也有大约3400名顾客的送货地址受影响。
个人资料保护委员会说,Goldheart承认安全漏洞早在2022年2月就已存在,给了黑客机会入侵系统,这个问题一直到事件发生后才加以修补。
Goldheart辩称,安全漏洞扫描和修补工作是供应商自动自发的监控责任,而不是等商家提出请求后才采取行动。
不过,委员会认为,供应商仅提供数据库的技术支援,没有义务协助管理顾客资料,安排网络安全措施的责任仍是Goldheart。有鉴于此,委员会对Goldheart开罚5万8000元。
