乐施会外泄个资│私隐公署：防火墙过时有严重漏洞 乐施会 : 两个月交执行报告

私隐专员公署今日（23日）公布乐施会资料外泄事故的调查结果，外泄事故有37台伺服器及24台工作电脑/手机电脑被入侵，有330GB数据被窃取，约55万人资料遭外泄，包括捐款者、活动参加者、义工、项目夥伴、项目参与者、项目顾问、现职及离职雇员、求职者及管治成员。涉及的个人资料包括姓名、配偶姓名、香港身份证号码/副本、护照号码/副本、出生日期、电话号码、电邮地址、地址、信用卡号码及银行帐户号码。

乐施会于去年7月13日向私隐专员公署通报资料外泄事故，表示乐施会遭受勒索软件攻击，其资讯系统因而受到影响。

调查结果显示乐施会约55万人资料遭外泄，包括捐款者、活动参加者等。乐施会图片

私隐专员公署今日公布乐施会资料外泄事故的调查结果。

锺丽玲指，经调查发现乐施会有多项缺失是导致外泄事件发生的主因。

锺丽玲(左)及郭正熙(右)。郭颖彤摄

郭正熙指乐施会自2023年6月后未对涉事防火墙进行任何修补或更新。郭颖彤摄

公署表示已向乐施会送达执行通知，指示其采取措施以纠正违规事项。资料图片

调查发现多项原因致资料外泄

锺丽玲指，经调查发现乐施会的以下缺失是导致外泄事件发生的主因，包括过时的防火墙存在严重漏洞；未有启用多重认证功能；没有对伺服器进行关键保安修补；资讯系统欠缺有效的侦测措施；对资讯系统进行的保安评估不足；资讯保安政策有欠具体；及过长地保存个人资料。

锺丽玲认为乐施会是一间具规模机构，恒常地持有并处理大量不同人士的个人资料，惟于事发前未有采取足够及有效的措施以保障其资讯系统的安全，亦未有制订有效的机制适时地销毁超过保存期限的个人资料，以致发生大规模的资料外泄事故，情况令人遗憾。

未对防火墙进行修补 长达7年保存个人资料

私隐公署首席个人资料主任（合规及查询）郭正熙表示，涉事防火墙存在的两项严重漏洞的修补程式已分别于2023年6月及2024年2月发布，惟乐施会自2023年6月后未对涉事防火墙进行任何修补或更新，令黑客有机可乘。此外，乐施会亦没有对存在严重漏洞的四台名称伺服器进行关键保安修补。

他亦指，乐施会过长保存个人资料，包括7年前举办的活动约4,000项参加者的个人资料（包括姓名、地址、电话号码及/或电邮地址）；在2021 至2024年间乐施会项目600项落选者的个人资料（包括姓名、出生日期、电话号码及电邮地址）；50项与顾问的香港身份证号码及履历有关的个人资料，这些顾问的个人资料在完成向乐施会提供顾问服务超过7年仍被保存；及35份前管治委员会成员的香港身份证或护照副本。

裁定乐施会违两项《私隐条例》规定

私隐专员裁定乐施会违反了《私隐条例》的保障资料第4（1）及第2(2)原则。公署已向乐施会送达执行通知，指示其采取措施以纠正违规事项，以及防止类似违规情况再次发生。

乐施会 : 两个月内向公署提交执行报告

乐施会表示，对事件高度重视，目前亦正根据该私隐专员公署指示，执行相关措施，并将在两个月内向公署提交执行报告。乐施会指，事件发生后已推出多项加强系统安全措施，包括升级至最新版本的防火墙，并增加第二层防火墙，巩固网络防护屏障；对遥距使用本会系统的人士实施多重身份认证，并定期进行安全威胁侦测。为防止事件再次发生，乐施会将按照公署指引，完善资讯保安政策。 

乐施会续指，已于去年7月主动通知可能受到影响的人士，并委托第三方进行暗网监察。根据服务供应商的监察报告，直至目前没有证据显示有关的个人资料因是次事件而流出。乐施会接纳私隐专员公署提到需定立清晰的个人资料保存政策，并认同以往做法存有不足之处，因此正按照公署的执行通知，建立完善的个人资料保存政策，定明资料保存期限、销毁过期资料的程序，及加强相关的内部监控措施等，以符合《个人资料（私隐）条例》规定。

记者：郭颖彤