Klook通知用戶有關潛在第三方資料外洩事件

香港,2018年6月29日 Klook表示,發現部分用戶資料可能在未經授權的情況下被讀取 ,事件起因與第三方網站分析供應商SOCIAPlus (下稱「第三方供應商」) 有關的JavaScript程式代碼內藏惡意成分有關。為保護用戶資料安全,Klook在發現事件後已立即把所有該第三方供應商的代碼在整個平台除去,同時正積極聯同一間獨立鑑識公司進行調查。經向該第三方供應商確認後,Klook確定是次資料外洩的主因是其中一條JavaScript程式代碼受到感染。

此事件導致Klook用戶所提供的個人資料及其信用卡資料有可能被洩露。在2017年12月11日至2018年6月13日期間,於Klook網站預訂的部分用戶有機會受影響,使用Klook手機應用程式(iOS及Android)預訂的用戶則不在該範圍內。相關調查仍在進行中,Klook正逐步將可能受影響的用戶排除。目前估計約8%用戶受影響,Klook現已主動通知可能受影響的用戶。

此外,Klook已與全球領先的網絡安全鑑識公司Kroll完成對此事件的初步調查。Klook及該第三方供應商將合作繼續為此事件調查。該第三方供應商聲稱,本次事件屬個別事件,發現漏洞原因是第三方供應商提供予Klook之專屬程式碼所致。

確保用戶資料安全,是Klook不變的堅持。保障用戶的利益是Klook的首要任務,Klook已主動及迅速採取以下相關行動,包括:

Klook將持續採取有效措施,用最高標準保障用戶能在資料安全的情況下,繼續享用Klook平台的便利服務。

FAQs

關於事故內容

1. Klook如何發現個人資料外洩的?

Klook表示,發現部分用戶資料可能在未經授權的情況下,遭第三方網站分析供應商SOCIAPlus (下稱「第三方供應商」)洩露, 而這是跟該第三方供應商向Klook網站提供的JavaScript程式代碼內藏惡意成分有關。為保護用戶資料安全,Klook在發現事件後已立即把所有該第三方供應商的代碼在整個平台除去,同時正積極聯同一間獨立鑑識公司進行調查。經向該第三方供應商確認後,Klook確定是次資料外洩的主因是其中一條JavaScript程式代碼受到感染。

此事件導致Klook用戶所提供的個人資料及其信用卡資料有可能被洩露。在2017年12月11日至2018年6月13日期間,於Klook網站預訂的部分用戶有機會受影響,使用Klook手機應用程式(iOS及Android)預訂的用戶則不在該範圍內。相關調查仍在進行中,Klook正逐步將可能受影響的用戶排除。目前估計約8%用戶受影響,Klook現已主動通知可能受影響的用戶。

針對信用卡資訊,我們確認以下用戶不受影響:

2. 針對此事件,Klook採取了什麼措施?

Klook已與全球領先的網絡安全鑑識公司Kroll完成對此事件的初步調查。我們在把JavaScript程式代碼完全移除後,已經再沒有看到任何數據流失發生。Klook及該第三方供應商將合作繼續為此事件調查。該第三方供應商聲稱,本次事件屬個別事件,發現原因是第三方供應商專屬程式碼之漏洞所致。

確保用戶資料安全,是Klook不變的堅持。保障用戶的利益是Klook的首要任務,Klook已主動及迅速採取以下相關行動,包括:

Klook將持續採取有效措施,用最高標準保障用戶能在資料安全的情況下,繼續享用Klook平台的便利服務。

3. 有多少用戶受影響?

相關調查仍在進行中,Klook正逐步將可能受影響的用戶用戶排除。目前估計約8%用戶受影響,Klook現已主動通知可能受影響的用戶。

只有Klook網站預訂的部分用戶有機會受影響,使用Klook手機應用程式(iOS及Android)預訂的用戶則不在該範圍內。

受影響用戶的處理方法 ##

4. 若我懷疑我的個人資料被洩露,該採取什麼行動?

若用戶曾於Klook網站(電腦版/行動版)預訂服務、且使用上述受影響之付款方式付款,其後曾發現信用卡帳戶有不尋常的交易者,我們建議立即與發卡銀行或單位聯繫,並進行剪卡、更換卡片之動作。在過往信用卡被盜刷的實際案例中,信用卡用戶只要即時通報銀行或發卡單位,通常不須為被盜刷的行為負責,而銀行也會針對用戶有被盜刷嫌疑的款項,進行退款。

此外,我們強烈建議用戶立即更換密碼。為確保安全及密碼強度,建議使用8碼以上的英數字母混合之組合作為密碼。

於此同時,用戶若對其於2017年12月11日至2018年6月13日期間訂單有疑問或需要額外協助之處,敬請傳送電子郵件至Klook為此事件受到影響之用戶所設立的信箱:privacy@klook.com

5. 除了付款資料外,還有哪些資訊被洩露?

截至最新的調查,在付款頁面上的資訊,包括為了預訂旅遊服務所需的個人聯絡資訊,有一定可能性被懷有惡意的單位獲取。但目前仍未有任何證據顯示這些在付款頁面的資訊已被懷有惡意的單位使用。

6. 我在Klook進行旅遊服務預訂的時候,該如何確保信用卡安全?

所有在Klook網站及App的轉帳交易均於確保安全的外部付款平台進行。為確保安全,我們會定期檢視我們與第三方服務公司的網路安全協議,並以此確保他們可達到我們要求的安全強度。

7. 假如我的信用卡被盜刷,Klook是否會給予我任何補償?

對於信用卡被盜刷的用戶及因此所造成的不便,我們感到深深的遺憾。此事件可能是由於第三方服務公司違反資料保密所致。用戶可針對盜刷相關問題,與發卡銀行或單位聯繫。信用卡用戶只要即時通報發卡銀行或單位,通常不需為被盜刷的行為負責,而銀行也會針對用戶有被盜刷嫌疑的款項,進行退款。

8. 我在Klook預訂了一些行程還沒出發。今次事件會影響我的行程安排嗎

此事件對還沒出發的行程沒有任何影響,所有未出發的行程亦會如常進行和運作。用戶可以放心如期出發,亦不必因此改變任何行程。

9. Klook可以選擇「保存信用卡資料」以作未來預訂之用。這有風險嗎?

用戶的信用卡資料並不會在我們的網站上處理或保存,而是透過加密連結直接發送給我們的付款處理合作夥伴,並在其已確保安全的伺服器上處理。 Klook收到的只是一個「代碼」 - 代表信用卡的一串亂碼。我們只會儲存這些代碼在我們的系統中,但我們無法解密更無法得取其中的信用卡資訊。

加強保安程序

10. 未來如何確保相似的個人資料外洩事件不再發生?

科技一直是Klook的經營核心,我們的平台採取高標準的資料安全系統,確保用戶資料安全。針對本次第三方資料外洩事件,我們將更嚴謹的審核網路安全保障及第三方所提供的任何資訊。

Klook將持續採取有效措施,用最高標準保障用戶能在資料安全的情況下,繼續享用Klook平台的便利服務。


用戶若對其於2017年12月11日至2018年6月13日期間訂單有疑問或需要額外協助之處,敬請傳送電子郵件至Klook為此事件受到影響之用戶所設立的信箱:privacy@klook.com

有關企業合作夥伴及營銷夥伴查詢:partnership@klook.com
有關傳媒查詢:press@klook.com