快圖美明知存漏洞仍無更新系統　洩62萬客戶資料　遭黑客勒索

相片沖曬公司快圖美在2021年遭黑客入侵，安裝勒索軟件加密。私隱專員公署今日（14日）公布調查報告，事故影響約62萬名會員及訪客，調查顯示，快圖美所購用的防火牆曾於2019年出現漏洞，惟快圖美明知而未有按照生產商指示，對保密插口層虛擬私有網絡（SSL VPN）採取停用、更新或多重認證等措施。私隱專員鍾麗玲直指，快圖美「對已知風險抱有過份樂觀甚或僥倖心理」，事件令人遺憾。

調查報告引述快圖美指出，事件合共影響544,862名會員及73,957名曾在2020 年11月16日至2021年10月26日期間於其網上商店訂購產品或服務的訪客，涉及姓名、電話號碼、電郵及送貨地址等。

防火牆生產商2019年公布有漏洞

快圖美披露，曾於2018年3月向一間服務供應商購買一台防火牆，並於4月安裝及啟用，隨後於2019年3月啟用保密插口層虛擬私有網絡（SSL VPN），以供資訊科技部門遙距登入。

在2019年5月，防火牆生產商表示，留意到有黑客披露其作業系統漏洞，可以繞過保安限制直接取得 SSL VPN 帳戶名稱及密碼，生產商曾呼籲立即停用 SSL VPN 功能，直至更新作業系統及重設所有帳戶密碼，同時建議啟用多重認證。

快圖美：疫情在家工作未有修補

直至2021年10月26日早上，快圖美資訊科技部門發現網上商店及該數據庫無法正常存取，除了該數據庫外，部份位於辦公室的伺服器和電腦同樣遭勒索軟件加密。快圖美委任的兩間資訊科技顧問公司，分別認為快圖美未有安裝修補程式，導致黑客利用相關漏洞勒索，及未有為SSL VPN 啟用多重認證。

快圖美解釋，因應新冠疫情推行在家工作安排，讓員工可使用 SSL VPN 遙距存取其系統，快圖美未有重新評估相關漏洞，致使相關漏洞直至該事件發生時仍未修補。

私隱專員：心存僥倖　令人遺憾

私隱專員公署認為，快圖美錯誤評估保安漏洞的風險，即使早於2019年已知保安漏洞，但內部評估後認為保安措施足夠，未有採取任何行動，快圖美亦沒有妥善管理載有個人資料的資訊系統，及沒有實施多重認證功能。

私隱專員鍾麗玲形容，快圖美「對已知風險抱有過份樂觀甚或僥倖心理，明顯地錯誤評估相關漏洞對其載有個人資料的資訊系統造成的風險，以及一旦遭黑客入侵可能引致的後果，令人遺憾。」私隱專員已依據《私隱條例》，向快圖美送達執行通知，指示糾正違規情況。

被問到快圖美的索償金額，鍾麗玲表示不便透露。她認為，快圖美在事件發生七日後向公署報告，認為已作即時通知，亦非常配合公署的調查。首席個人資料主任郭正熙補充，截至現時為止，暫時未收到快圖美外洩的資料被不當使用。

她又同意，現時執行通知的阻嚇力不夠，正審視現行條例，會參考海外資料保障機構，包括歐盟、內地及新西蘭等，希望可以提供具體建議予政府考慮。