本地珠寶商Goldheart在全島有多家分行。(圖:Goldheart網站)
未及時修補安全漏洞,本地珠寶商家Goldheart遭黑客入侵竊取逾4萬名顧客的資料,被個人資料保護委員會罰款5萬8000元。
這起資料外泄事件發生在2023年5月26日,Goldheart當時發現系統遭入侵,共有4萬1379名客戶的資料外泄,不明人士甚至將外泄的資料放到網上論壇。
Goldheart請專業顧問調查事件後,發現協助管理網站的外包供應商沒有及時修補網絡安全漏洞,造成黑客有機可乘,遠程入侵系統竊取資料。
外泄的資料包括客戶的姓名、電郵地址和生日。另外,大約3500名顧客的聯絡號碼和帳單地址外泄,也有大約3400名顧客的送貨地址受影響。
個人資料保護委員會說,Goldheart承認安全漏洞早在2022年2月就已存在,給了黑客機會入侵系統,這個問題一直到事件發生後才加以修補。
Goldheart辯稱,安全漏洞掃描和修補工作是供應商自動自發的監控責任,而不是等商家提出請求後才採取行動。
不過,委員會認為,供應商僅提供資料庫的技術支援,沒有義務協助管理顧客資料,安排網絡安全措施的責任仍是Goldheart。有鑒於此,委員會對Goldheart開罰5萬8000元。
