俊思集团外泄12.7万人资料　包括2.7万Brooks Brothers会员

管理多间时装及美容品牌的俊思集团于去年5月外泄逾12.7万会员资料，并遭黑客勒索。私隐专员公署调查后认为，事件涉人为疏忽，主因包括未有在修复系统故障后适时删除临时帐户、使用已被停止支援的操作系统等。公署裁定俊思违反《私隐条例》，须于两个月内采取措施纠正违规事项。

俊思集团去年5月外泄逾12.7万人士资料，包括约10万名ICARD会员、约2.7万名Brooks Brothers会员、14名俊思现职雇员及前雇员等。被泄漏的资料有，括会员姓名、电邮地址、电话号码、出生月份、性别及国籍，以及雇员的护照副本等。

私隐专员公署今日（31日）公布事件调查结果。调查发现，俊思去年4月在防火墙设立临时用户帐户，没即时删除。黑客5月以该帐户取得进入俊思网络的访问权限，并利用应用程式伺服器的保安漏洞，入侵网域控制器及其他载有个人资料的伺服器。调查显示，约68GB的资料从俊思的网络外泄，共涉及4台伺服器及5个系统帐户。

公署指，俊思有4大缺失导致是次外泄事件，包括未有在修复系统故障后适时删除临时帐户、使用已被终止支援的操作系统、资讯系统欠缺有效的侦测措施以及对资讯系统进行的保安风险评估及审计不足。

公署认为，假如俊思于事发前及时删除相关帐户，及停止使用已终止支援的操作系统，是次外泄事件可以避免。私隐专员基于俊思疏忽及欠缺保安措施，裁定俊思违反《私隐条例》有关个人资料保安的规定。