魏瑜嶙 報道
愛雍·烏節購物中心會員個人資料外泄,近2萬5000名會員因此收到釣魚電郵。
管理愛雍·烏節 (ION Orchard)的烏節彎發展私人有限公司(Orchard Turn Developments)沒有采取足夠的安全措施保護顧客資料,被個人資料保護委員會罰款1萬5000元。
該購物中心有約4萬8000名會員,超過一半在這起于2015年發生的事件中受影響。個人資料保護委員會接獲一名會員投訴後展開調查,委員會上星期四(6日)就此公布判詞。
愛雍·烏節的會員獎勵計劃由駐香港的科技公司Super e-Management(簡稱Super-E)管理。
暫存第二伺服器資料
未及時刪除添風險
一般上,會員資料會被存入一個與互聯網沒有直接連接的伺服器(簡稱第一伺服器)中。系統每天自動把一部分會員的資料從第一伺服器,轉入另一個與互聯網連接的伺服器(簡稱第二伺服器),以便能通過網上應用把宣傳電郵傳給名單上的會員。
調查顯示,公司在寄出電郵後沒有立即清除會員資料,以致它們繼續留在第二伺服器裏。
2015年12月26日,不知名的侵入者利用所取得的一組密碼,非法登入第二伺服器的網絡應用,盜取購物中心會員資料,包括他們的姓名、電郵地址、生日和會員注冊日期。
侵入者之後發出釣魚電郵(phishing email),並以推銷“免費”獎勵積分爲餌,誘使收件者按下電郵中的廣告網站鏈接。之後,一旦收件者嘗試索取所謂的獎勵積分,他就會被帶到更多的廣告網站去,一些網站就借機向收件者索取手機號碼等資料。有會員就此投訴。
另一方面,Super-E也接到伺服器發出的警告,告知有來自埃及的網絡地址登入系統,寄出釣魚電郵。烏節彎發展在同年12月27日和29日發出電郵通知受影響的會員,並雇用咨詢公司KPMG Services調查外泄事件。
委員會指出,把複制的會員資料儲存在第二伺服器中,爲資料增加了不必要的保安風險。它們在第二伺服器裏的時間越久,越有可能遭受網絡入侵。
委員會認爲,烏節彎發展缺乏保護密碼的完善機制。入侵者僅試了一次就成功登入伺服器,沒有強行侵入的迹象,顯示他取得了系統密碼。公司自2014年11月推出這套系統,直到事發時從未更換密碼,而且唯一一組密碼由四個用戶共用,以致難以找出泄露的源頭。
除了罰款外,委員會也下令烏節彎發展必須爲系統進行補丁(patching),修補缺口和推行密碼管理機制等。
至于Super-E,委員會會與相關海外單位接洽,尋求可行的處置方式。