9000多名客戶數據流向暗網！Fortnum因重大泄漏遭ASIC起訴

澳大利亞證券投資委員會（ASIC）近日對財富管理公司Fortnum Private Wealth Limited提起法律訴訟，指控該公司因網絡安全防護失職，導致超過9000名客戶的敏感信息被黑客竊取并流入暗網。這場重大數據泄露事件源于Fortnum旗下一家商業合作伙伴遭遇網絡攻擊，超過200GB機密數據遭竊取后公然發布于非法網絡平台。

根據向新南威爾士州最高法院提交的訴狀，ASIC揭露Fortnum在2021年4月至2023年5月期間存在系統性安全漏洞。盡管此期間其授權顧問網絡多次遭受網絡攻擊，這家悉尼金融巨頭卻始終未能建立有效防護體系。

"Fortnum對網絡安全風險的漠視，將公司、合作機構及客戶置于不可接受的危險境地，"ASIC主席 Joe Longo 在聲明中嚴正指出。

這已是ASIC三個月內第二次出手：今年3月，該機構就曾因類似網絡安全疏失起訴FIIG證券公司，當時385GB客戶資料遭泄露至暗網。

漏洞百出的風控政策

調查顯示，Fortnum的失職始于2021年4月推出的缺陷版網絡安全框架。該政策存在兩大致命漏洞：一是允許顧問機構對自查發現的安全隱患不作整改；二是外部IT咨詢完全脫離總部監管。

執行效果更令人咋舌：截至2021年9月，僅44% 合作機構完成強制安全自查，提交合規證明的比例更跌至11%。"金融服務持牌機構掌握海量敏感數據，必須承擔最高等級防護責任，"Longo重申，"這正是ASIC的核心執法方向。"

12個月安全真空期

更嚴重的是，該公司在2022年制定新政策時，竟全面暫停既有防護要求，造成長達12個月的安全監管真空。新版政策直至2023年5月才生效。在此期間，其多家授權代表機構接連遭受網絡攻擊：除導致數千客戶記錄泄露的重大事件外，還包括郵箱入侵、釣魚攻擊及黑客冒用顧問郵箱發送欺詐信息等。

法庭文件顯示，攻擊者獲取的敏感信息包含身份證件、稅號、銀行賬戶及信用卡資料等網絡犯罪主要目標。ASIC指控Fortnum違反《公司法》多項條款，包括未"高效、誠實、公平"提供金融服務，以及未建立完善的風險管理系統。監管機構特別指出，該公司既未配備網絡安全專職人員，制定政策時也未聘請合格顧問。

本案定于2025年8月4日開庭，ASIC將尋求法院作出違規聲明并處以經濟處罰。目前Fortnum未就訴訟發表公開回應。