樂施會洩密 揭防火牆過時多漏洞

私隱專員公署昨日公布樂施會去年7月遭勒索軟件攻擊，導致逾55萬人資料外洩事故的調查結果，指樂施會未有採取足夠防護措施保障網絡系統安全，又過長地保存個人資料，裁定樂施會違反《私隱條例》，要求對方須採取措施糾正。樂施會回應說對事件高度重視，並按公署的要求執行相關措施。
外洩事故涉及樂施會37台伺服器及24台工作電腦/手提電腦遭黑客入侵，有330GB數據被竊取，約55萬人資料遭外洩，包括捐款者、活動參加者、義工、現任僱員和離職僱員、求職者的個人資料，如姓名、香港身份證號碼、護照號碼、出生日期、電話號碼、電郵地址、地址、信用卡號碼及銀行帳戶號碼等。

公署經調查發現，樂施會犯了多項缺失才導致資料外洩，包括使用過時的防火牆存在嚴重漏洞、未有啟用多重認證功能、沒有對伺服器進行關鍵保安修補、資訊系統欠缺有效的偵測措施，對資訊系統進行的保安評估不足和欠缺具體資訊保安政策，以及過長地保存個人資料。
4伺服器存嚴重漏洞無修補

私隱公署首席個人資料主任（合規及查詢）郭正熙表示，涉事防火牆存在的兩項嚴重漏洞的修補程式已分別於2023年6月及2024年2月發布，惟樂施會自2023年6月後未對相關防火牆進行任何修補或更新，令黑客有機可乘。此外，樂施會亦沒有對存在嚴重漏洞的4台伺服器進行關鍵保安修補。

他亦指，樂施會過長保存個人資料，包括7年前活動參加者約4000份個人資料、50份顧問的個人資料，而有關顧問服務已完成超過7年仍被保存。

私隱專員鍾麗玲認為，樂施會是一間具規模機構，恆常地持有並處理大量不同人士的個人資料，惟於事發前未有採取足夠及有效的措施以保障其資訊系統的安全，亦未有制訂有效的機制適時地銷毀超過保存期限的個人資料，以致發生大規模的資料外洩事故，情況令人遺憾。
樂施會指兩月內交執行報告

私隱專員裁定樂施會違反了《私隱條例》的保障資料第4（1）及第2(2)原則。公署已向樂施會送達執行通知，指示其採取措施以糾正違規事項，以及防止類似違規情況再次發生。

調查結果公布後，樂施會表示，事件發生後已採取多項措施加強整體網絡系統安全，包括把防火牆升級、對遙距使用電腦系統實施多重身份認證、定期進行安全威脅偵測、建立完善的個人資料保存政策，定明資料保存期限、銷毀過期資料的程序等，並將在兩個月內向公署提交執行報告。