高登鐘錶網絡遭黑個資外泄 無須罰款但須補漏 | 聯合早報

本地鐘錶零售和分銷品牌高登鐘錶去年遭受網絡攻擊，約4000人的個人資料泄露到暗網，公司如今被裁定無須罰款，但必須進行網絡安全審計和糾正安全漏洞。

個人資料保護委員會（PDPC：Personal Data Protection Commission）星期四（5月23日）公佈對高登鐘錶的裁決。委員會考慮到數據泄露的影響程度、公司及時採取行動以及在調查中給予合作，決定不對公司處以罰款。

去年6月5日，高登鐘錶發現服務器遭到勒索軟件攻擊時，便通報了個人資料保護委員會。這次網襲導致的數據泄露共影響3953人，所泄露的信息包括他們的全名和聯繫方式，其中八人的銀行賬號遭盜竊。

調查顯示，高登鐘錶在去年4月30日至6月4日期間多次成為網襲目標；其中，一名黑客於5月27日成功盜取了公司用於測試虛擬專用網絡（VPN）訪問的賬户，並使用勒索軟件LockBit 3.0對公司服務器的其他文件加密，再上傳到暗網。

黑客共盜取5.82GB數據資料 並泄露到暗網

黑客一共盜取了5.82GB的數據資料，包括公司和員工賬號的用户名和密碼、客户數據等。公司的手錶庫存、銷售訂單和銷售策略也被泄露到暗網。

延伸閲讀

[製造業去年遭網攻最多 專業服務和房產也成熱門目標

](https://www.bdggg.com/2024/zaobao/news_2024_05_04_680111) [思科調查：僅1%本地私人機構準備好應對網安威脅

](https://www.bdggg.com/2024/zaobao/news_2024_03_30_673206) 裁決書指出，高登鐘錶沒有采取合理的網絡訪問管控措施，例如使用複雜的用户名或多因素身份驗證（Multi Factor Authentication，簡稱MFA）來登錄網絡，也未執行強密碼政策。公司承認沒有執行強密碼策略，唯有要求密碼須至少有八個字符。

不過，為了及時挽救，高登鐘錶去年6月4日至9日將所有服務器下線，並實施了各種網絡安全措施，包括對數據加密。

委員會強調，保護個人資料安全是公司的責任，公司也應根據處理數據的數量和敏感性等因素進行策略調整，確保實施合理的安全措施。