快圖美客戶資料外洩 被批無預先堵漏洞

私隱專員公署調查連鎖沖印公司「快圖美」去年遭勒索軟件攻擊及惡意加密事件後，認為快圖美在客戶個人資料保安方面呈嚴重不足，包括未為涉事系統安裝修補程式、拖延啟用多重認證等，均是該公司數據庫受攻擊原因，已要求公司糾正問題。

快圖美的網上商店數據庫去年10月26日遭勒索軟件攻擊及惡意加密，約54萬名會員和近7.4萬名過去近一年曾光顧的客戶的個人資料受影響，包括電話、電郵和聯絡地址等，公司約一周後向私隱專員公署通報。

快圖美：90日內採行動跟進

私隱專員鍾麗玲表示，調查顯示快圖美雖在啟用可供遙距登入系統的保密插口層虛擬私有網絡（SSL VPN）的前一年已購置防火牆，但2019年防火牆生產商公布作業系統漏洞，籲用家更新作業系統和重設所有密碼後，經諮詢服務供應商和作內部評估，仍認為無需即時安裝修補程式。

她又指，對方承認員工在家工作且可使用SSL VPN時，未有重新評估安全隱患，認為快圖美錯誤評估保安漏洞風險、資訊系統管理欠妥，又拖延啟用多重認證，均是未採取切實可行的步驟保障客戶個人資料，成為公司受黑客攻擊的原因。

公署署理首席個人資料主任（合規及查詢）郭正熙稱，已要求快圖美徹底檢視相關系統安全、聘請獨立資料保安專家定期檢視系統保安等，暫未獲悉涉事個人資料被用於不法用途。快圖美回應稱同意公署報告，將在90日內採取行動及跟進，事發後已完成對集團IT和網絡安全政策和程序的審查。據《私隱條例》的「保障資料原則」，資料使用者須採取所有切實可行步驟，確保其持有的個人資料不會被未獲准許或意外查閱、處理、刪除、喪失或使用所影響。