9000多名客户数据流向暗网！Fortnum因重大泄漏遭ASIC起诉

澳大利亚证券投资委员会（ASIC）近日对财富管理公司Fortnum Private Wealth Limited提起法律诉讼，指控该公司因网络安全防护失职，导致超过9000名客户的敏感信息被黑客窃取并流入暗网。这场重大数据泄露事件源于Fortnum旗下一家商业合作伙伴遭遇网络攻击，超过200GB机密数据遭窃取后公然发布于非法网络平台。

根据向新南威尔士州最高法院提交的诉状，ASIC揭露Fortnum在2021年4月至2023年5月期间存在系统性安全漏洞。尽管此期间其授权顾问网络多次遭受网络攻击，这家悉尼金融巨头却始终未能建立有效防护体系。

"Fortnum对网络安全风险的漠视，将公司、合作机构及客户置于不可接受的危险境地，"ASIC主席 Joe Longo 在声明中严正指出。

这已是ASIC三个月内第二次出手：今年3月，该机构就曾因类似网络安全疏失起诉FIIG证券公司，当时385GB客户资料遭泄露至暗网。

漏洞百出的风控政策

调查显示，Fortnum的失职始于2021年4月推出的缺陷版网络安全框架。该政策存在两大致命漏洞：一是允许顾问机构对自查发现的安全隐患不作整改；二是外部IT咨询完全脱离总部监管。

执行效果更令人咋舌：截至2021年9月，仅44% 合作机构完成强制安全自查，提交合规证明的比例更跌至11%。"金融服务持牌机构掌握海量敏感数据，必须承担最高等级防护责任，"Longo重申，"这正是ASIC的核心执法方向。"

12个月安全真空期

更严重的是，该公司在2022年制定新政策时，竟全面暂停既有防护要求，造成长达12个月的安全监管真空。新版政策直至2023年5月才生效。在此期间，其多家授权代表机构接连遭受网络攻击：除导致数千客户记录泄露的重大事件外，还包括邮箱入侵、钓鱼攻击及黑客冒用顾问邮箱发送欺诈信息等。

法庭文件显示，攻击者获取的敏感信息包含身份证件、税号、银行账户及信用卡资料等网络犯罪主要目标。ASIC指控Fortnum违反《公司法》多项条款，包括未"高效、诚实、公平"提供金融服务，以及未建立完善的风险管理系统。监管机构特别指出，该公司既未配备网络安全专职人员，制定政策时也未聘请合格顾问。

本案定于2025年8月4日开庭，ASIC将寻求法院作出违规声明并处以经济处罚。目前Fortnum未就诉讼发表公开回应。