快图美明知存漏洞仍无更新系统　泄62万客户资料　遭黑客勒索

相片冲晒公司快图美在2021年遭黑客入侵，安装勒索软件加密。私隐专员公署今日（14日）公布调查报告，事故影响约62万名会员及访客，调查显示，快图美所购用的防火墙曾于2019年出现漏洞，惟快图美明知而未有按照生产商指示，对保密插口层虚拟私有网络（SSL VPN）采取停用、更新或多重认证等措施。私隐专员钟丽玲直指，快图美“对已知风险抱有过份乐观甚或侥幸心理”，事件令人遗憾。

调查报告引述快图美指出，事件合共影响544,862名会员及73,957名曾在2020 年11月16日至2021年10月26日期间于其网上商店订购产品或服务的访客，涉及姓名、电话号码、电邮及送货地址等。

防火墙生产商2019年公布有漏洞

快图美披露，曾于2018年3月向一间服务供应商购买一台防火墙，并于4月安装及启用，随后于2019年3月启用保密插口层虚拟私有网络（SSL VPN），以供资讯科技部门遥距登入。

在2019年5月，防火墙生产商表示，留意到有黑客披露其作业系统漏洞，可以绕过保安限制直接取得 SSL VPN 帐户名称及密码，生产商曾呼吁立即停用 SSL VPN 功能，直至更新作业系统及重设所有帐户密码，同时建议启用多重认证。

快图美：疫情在家工作未有修补

直至2021年10月26日早上，快图美资讯科技部门发现网上商店及该数据库无法正常存取，除了该数据库外，部份位于办公室的伺服器和电脑同样遭勒索软件加密。快图美委任的两间资讯科技顾问公司，分别认为快图美未有安装修补程式，导致黑客利用相关漏洞勒索，及未有为SSL VPN 启用多重认证。

快图美解释，因应新冠疫情推行在家工作安排，让员工可使用 SSL VPN 遥距存取其系统，快图美未有重新评估相关漏洞，致使相关漏洞直至该事件发生时仍未修补。

私隐专员：心存侥幸　令人遗憾

私隐专员公署认为，快图美错误评估保安漏洞的风险，即使早于2019年已知保安漏洞，但内部评估后认为保安措施足够，未有采取任何行动，快图美亦没有妥善管理载有个人资料的资讯系统，及没有实施多重认证功能。

私隐专员钟丽玲形容，快图美“对已知风险抱有过份乐观甚或侥幸心理，明显地错误评估相关漏洞对其载有个人资料的资讯系统造成的风险，以及一旦遭黑客入侵可能引致的后果，令人遗憾。”私隐专员已依据《私隐条例》，向快图美送达执行通知，指示纠正违规情况。

被问到快图美的索偿金额，钟丽玲表示不便透露。她认为，快图美在事件发生七日后向公署报告，认为已作即时通知，亦非常配合公署的调查。首席个人资料主任郭正熙补充，截至现时为止，暂时未收到快图美外泄的资料被不当使用。

她又同意，现时执行通知的阻吓力不够，正审视现行条例，会参考海外资料保障机构，包括欧盟、内地及新西兰等，希望可以提供具体建议予政府考虑。