黑客在15个月后侵入ShopBack的云系统,修改系统的保安设置,并盗取客户的个人资料。

这些遭盗取的个人资料,在2020年11月被人放上专门买卖失窃数据的网上论坛出售。

ShopBack发现云系统被侵入后,即刻采取一系列补救措施,包括通知受影响的客户,并且配合个人资料保护委员会的调查。

ShopBack同月更换密钥,但负责的工作人员并没有完全取消旧密钥的功能,也没有将它完全删除。这意味着任何人都可继续以旧密钥读取云系统内的资料。

判决书透露,事件起源可追溯到2019年6月4日,ShopBack的一名工程师一时疏忽,将云系统的密钥储存在一个系统码托管平台上。另一名工程师两天后发现问题,从托管平台删除密钥,但相关资料其实仍然可见。

根据个人资料保护委员会星期三(8月16日)发布的判决书,外泄的有145万7000多个电邮地址、44万7000多个手机号码、13万8000多个住址、近1万个身份证号码,及37万8000多张信用卡的资料。

延伸阅读

本地电商平台ShopBack因145万余名客户的个人资料外泄,被个人资料保护委员会罚款7万4400元。