私隱專員公署發表兩份資料外洩事故調查報告，涉及珠寶公司、跨國時裝公司，有逾13.8萬人受影響。私隱專員鍾麗玲表示，事件涉及持有大量客戶個人資料的零售業機構，而其中一宗更有證據明確顯示客戶資料外洩後在「暗網」公開。她提醒零售行業及持有大量客戶資料的機構：「面對與日俱增的網絡安全威脅，機構應視其所持有的個人資料為重要資產，投放足夠資源於網絡保安及數據安全，從而保障所持有的個人資料。」

關於光雅及愛飾的資料外洩事故，調查源於光雅及愛飾於2024年11月11日向私隱專員公署通報資料外洩事故，表示其共用的資訊系統出現異常，並收到黑客的訊息指儲存於光雅及愛飾資訊系統內的資料已被盜取。經檢查後，光雅及愛飾確認儲存於資料庫伺服器的資料已被黑客盜取及刪除。

光雅是愛飾的母公司，從事珠寶製造及批發，而愛飾則從事珠寶零售，經營「My Jewelry愛飾珠寶」品牌。光雅及愛飾共同管理及使用受外洩事件影響的資訊系統，包括當中的伺服器、應用程式及資料庫。

調查發現，黑客透過暴力攻擊取得一個具系統管理員權限的賬戶（相關賬戶）的賬戶憑證。黑客利用相關賬戶取得進入光雅及愛飾的資訊系統的訪問權限後，在資訊系統進行橫向移動，包括於一台用於內部系統開發及編程的桌上電腦注入木馬程式，繼而獲取能操控資料庫伺服器的原始程式碼，並成功盜取及刪除儲存在內的個人資料。

根據光雅及愛飾提供的資料，受外洩事件影響的資料當事人約 79,400 名，包括光雅的公司客戶、現職及離職員工，以及愛飾的店舖客戶、現職及離職員工的個人資料，涉及的個人資料包括員工姓名、香港身份證號碼、出生日期、電話號碼、地址及入職日期，以及客戶的姓名、香港身份證號碼、出生年份及月份、電話號碼、電郵地址及會員編號。

私隱專員公署就外洩事件共進行了七次查訊，認為光雅及愛飾的以下缺失是導致外洩事件發生的主因，包括未有適時刪除離職員工賬戶；資訊系統欠缺有效的保安及偵測措施；伺服器的作業系統已過時；欠缺資訊保安政策及指引；及未有對資訊系統進行保安評估及審計。

至於涉及Adastria的資料外洩事故，調查源於Adastria於2024年11月18日向私隱專員公署通報資料外洩事故，表示其客戶關係管理平台及電子商務平台（統稱受影響平台）遭受未獲授權的第三方入侵，導致Adastria客戶的個人資料被竊取（Adastria外洩事件）。

調查發現，受影響平台由第三方供應商（該平台供應商）提供，以軟件即服務（Software-as-a-Service）方式運作。在Adastria外洩事件當中，黑客利用一名現職員工的管理員賬戶的賬戶憑證，從一個不明的海外 IP 位址連接至受影響平台，繼而下載儲存於當中的訂單資料。

Adastria的總公司是一間日本的跨國企業，在多個亞洲國家經營服裝零售。外洩事件合共影響59205名客戶的個人資料，涉及的個人資料包括客戶的姓名、電話號碼及訂單資料，包括交易參考編號、訂單日期、會員號碼、送貨方式、送貨╱取貨日期、送貨地址、產品名稱與描述，以及價格資料。

在調查過程中，Adastria發現受影響的個人資料於外洩事件發生約兩個月後在「暗網」公開，並可供下載。

私隱專員公署就Adastria外洩事件共進行了五次查訊，認為Adastria的以下缺失是導致外洩事件發生的主因，包括薄弱的密碼管理；未有為存取賬戶啟用多重認證功能；缺乏保障個人資料的意識；及未有對受影響平台進行適當的保安檢視。

頂圖：私隱專員鍾麗玲發表調查報告。大會供圖