洩大量資料 黑客早潛伏南華會難辭其咎
2024-10-23 00:00南華體育會(南華會)電腦伺服器3月時遭黑客入侵,逾7.2萬名資料外洩,包括姓名、香港身份證號碼、護照號碼、相片、出生日期及地址等,個人資料私隱專員公署已完成有關調查。私隱專員鍾麗玲認為南華會對保障所持有的會員個人資料意識薄弱,裁定南華會違反了《個人資料(私隱)條例》的相關規定,並已向南華會送達執行通知,指示其採取措施以糾正違規事項,以及防止類似情況再發生。
私隱專員指保障個資意識薄弱
公署調查發現,黑客早於2022年1月已在南華會一台與互聯網連接的伺服器內安裝了惡意程式,直至今年3月才透過潛伏已久的惡意程式入侵南華會網絡,安裝遠端控制軟件,展開暴力攻擊,並進行其他惡意活動,包括網絡偵察、停用防毒及反惡意軟件等,最終透過勒索軟件將載有會員個人資料的檔案加密,涉及8台伺服器、1台數據儲存器及18台電腦,並要求南華會支付贖金,為已被加密的檔案解鎖。
南華會在外洩事件發生後已通知所有受影響的會員,並採取一系列的改善措施以提升系統安全,包括限制南華會網內服務連接至互聯網、為管理員帳戶啟用多重認證功能等。
經考慮外洩事件的情況及調查所獲得的資料,鍾麗玲認為南華會的6項缺失是導致外洩事件發生的主因,包括相關伺服器被意外地曝露於互聯網,導致南華會的電腦系統遭受網絡攻擊的風險大幅增加,最終黑客透過相關伺服器作為踏板,入侵南華會網絡並進行勒索軟件攻擊;沒有為管理員帳戶啟用多重認證功能、欠缺資訊保安政策及指引等(見表)。
私隱專員認為,假如南華會在事發前已採取適當及足夠的技術性保安措施,是次資料外洩事故是相當有機會可以避免的。因此,公署已指示南華會採取措施以糾正違規事項,包括需聘請獨立的資訊保安專家,為載有個人資料的系統每年做最少一次的風險評估及保安審計,並需向私隱專員提供證明文件。
關鍵字
最新回應