Fimmick系統遭攻擊洩私隱 涉10間公司料累及逾3.5萬人

【on.cc東網專訊】個人資料私隱專員公署(私隱公署)今(21日)表示,於本月4日起陸續接獲Fimmick CRM Limited(Fimmick)及其企業客戶的資料外洩事故通報,指Fimmick的電腦系統曾於今年9月遭勒索軟件攻擊,導致由Fimmick處理的部分個人資料外洩,受今次事件影響的人數可能超過3.5萬名,而實際數字有待Fimmick核實。私隱公署指於本月6日聯絡Fimmick跟進事件,並於上周二(12日)就事件展開調查。私隱公署於昨日(20日)收到Fimmick所提供的進一步資料。

根據資料,Fimmick是一家總部位於香港的數碼營銷公司,向企業客戶提供數碼營銷及客戶關係管理等服務。考慮到Fimmick持有及處理多間香港公司的客戶個人資料,當中包括姓名、出生日期、電話號碼、電郵地址及住址資料等。

截至今日,私隱公署得悉歐萊雅香港有限公司L’Oreal Hong Kong Limited的客戶證實受事件影響,外洩個人資料包括姓名、電話號碼、電郵地址、住址、出生月份、Facebook帳戶名稱及Facebook電郵地址等個人資料。此外,私隱公署共接獲另外9間公司(Fimmick的企業客戶)就事件作出的資料外洩事故通報,告知相關事件仍在調查中。包括保柏(亞洲)有限公司、可口可樂中國有限公司、歐洲坊控股有限公司、綠坊市場發展有限公司、美贊臣營養品(香港)有限公司、曼秀雷敦(亞洲太平洋)有限公司、香港麥當勞、雀巢香港有限公司、以及利潔時有限公司。

個人資料私隱專員(私隱專員)鍾麗玲呼籲曾向上述公司提供個人資料的市民,包括成為有關產品會員或經網上訂購產品的客戶,提高警惕,慎防個人資料被盜用。若懷疑個人資料被外洩,可聯絡有關公司查詢,亦可以向私隱公署作出查詢或投訴。

私隱專員亦建議受到是次事件影響的機構,若認為事件涉及外洩客戶的個人資料,應盡快向私隱公署作出通報,並通知受影響的客戶。私隱專員提醒機構,根據《個人資料(私隱)條例》,機構必須採取有效的保安措施妥善保障客戶的個人資料。若聘用外判服務供應商作為資料處理者,機構仍須採取合約規範方法或其他方法,以防止個人資料未獲准許或意外地被查閱、處理、喪失或使用。

香港歐萊雅回應稱,已經接獲Fimmick通知,並通報個人資料私隱專員公署,正與Fimmick緊密聯絡了解事態情況。該公司強調非常重視保護客戶的個人資料,亦設有嚴格的政策及指引。

可口可樂回應指知悉其中一間數碼營銷服務供應商成為網絡攻擊對象。該公司正與外聘網絡安全專家及香港的相關政府部門,包括香港警務處,處理事件。可口可樂又指,已通知相關監管機構有關事宜,根據供應商提供的資訊,目前沒有證據表明任何數據在此次事件中受到波及。

歐洲坊控股有限公司回應指,僱用的數碼營銷代理公司仍在調查事件,現階段並沒有證據顯示該公司客戶的個人資料被洩露或未經授權發布或被不正當使用。該公司續稱,代理公司只儲存客戶基本個人資料如名稱、電話。至於其他可選擇的資訊,如電郵地址、通訊地址和出生日期,則視乎客戶在註冊時有否提供,但肯定當中不涉及Facebook任何資料,信用卡資料或個人密碼。該公司指正與代理公司密切跟進,並會優先處理有關工作。

雀巢香港有限公司回應指已於本月2日凌晨接獲Fimmick CRM通知,獲悉黑客組織曾經入侵該公司網絡,並知悉Fimmick CRM已採取一切必要行動。該公司續稱,Fimmick CRM現階段並不確定有何資訊被盜取,而他們管有的資訊只有基本個⼈資料(但不包括任何信用卡及密碼資料),並引述Fimmick CRM指暫時沒有證據顯示有雀巢客戶資料被不恰當地使用,但不排除有部分資料有機會被洩漏。雀巢續指已成立專案小組與Fimmick CRM了解事件,並於本月5日通報私隱公署作備案。

【更多即時新聞詳情請上東網新聞