乐施会泄密 揭防火墙过时多漏洞

私隐专员公署昨日公布乐施会去年7月遭勒索软件攻击，导致逾55万人资料外泄事故的调查结果，指乐施会未有采取足够防护措施保障网络系统安全，又过长地保存个人资料，裁定乐施会违反《私隐条例》，要求对方须采取措施纠正。乐施会回应说对事件高度重视，并按公署的要求执行相关措施。
外泄事故涉及乐施会37台伺服器及24台工作电脑/手提电脑遭黑客入侵，有330GB数据被窃取，约55万人资料遭外泄，包括捐款者、活动参加者、义工、现任雇员和离职雇员、求职者的个人资料，如姓名、香港身份证号码、护照号码、出生日期、电话号码、电邮地址、地址、信用卡号码及银行帐户号码等。

公署经调查发现，乐施会犯了多项缺失才导致资料外泄，包括使用过时的防火墙存在严重漏洞、未有启用多重认证功能、没有对伺服器进行关键保安修补、资讯系统欠缺有效的侦测措施，对资讯系统进行的保安评估不足和欠缺具体资讯保安政策，以及过长地保存个人资料。
4伺服器存严重漏洞无修补

私隐公署首席个人资料主任（合规及查询）郭正熙表示，涉事防火墙存在的两项严重漏洞的修补程式已分别于2023年6月及2024年2月发布，惟乐施会自2023年6月后未对相关防火墙进行任何修补或更新，令黑客有机可乘。此外，乐施会亦没有对存在严重漏洞的4台伺服器进行关键保安修补。

他亦指，乐施会过长保存个人资料，包括7年前活动参加者约4000份个人资料、50份顾问的个人资料，而有关顾问服务已完成超过7年仍被保存。

私隐专员锺丽玲认为，乐施会是一间具规模机构，恒常地持有并处理大量不同人士的个人资料，惟于事发前未有采取足够及有效的措施以保障其资讯系统的安全，亦未有制订有效的机制适时地销毁超过保存期限的个人资料，以致发生大规模的资料外泄事故，情况令人遗憾。
乐施会指两月内交执行报告

私隐专员裁定乐施会违反了《私隐条例》的保障资料第4（1）及第2(2)原则。公署已向乐施会送达执行通知，指示其采取措施以纠正违规事项，以及防止类似违规情况再次发生。

调查结果公布后，乐施会表示，事件发生后已采取多项措施加强整体网络系统安全，包括把防火墙升级、对遥距使用电脑系统实施多重身份认证、定期进行安全威胁侦测、建立完善的个人资料保存政策，定明资料保存期限、销毁过期资料的程序等，并将在两个月内向公署提交执行报告。