管理員帳戶遭黑客入侵 消委會477名投訴人及員工資料外洩

【on.cc東網專訊】早前消費者委員會被黑客入侵「勒索」，導致資料外洩。私隱專員公署今日（2日）發表調查結果，個人資料私隱專員（私隱專員）鍾麗玲指出，今次受影響人數共477人，他們的姓名、手提電話號碼、住宅或電郵地址等個人資料均被洩漏。鍾指出，消委會有5大項缺失，包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定網絡安全軟件等，現時私隱專員已向消委會送達執行通知，糾正違反事項，以防止類似違規情況再發生。

根據調查結果顯示，黑客組織ALPHV在去年9月4日獲取並利用消委會一個具管理員權限的帳戶，透過虛擬私有網絡進入消委會的網絡，隨後在9月19至20日，消委會伺服器及端點裝置遭受勒索軟件攻擊；及後在9月21日，消委會向公署通報事件。

鍾表示，今次事件受影響人數達477人，包括投訴人、資訊科技服務供應商員工、現職及已離職的消委會員工。而報告亦指出，根據調查結果發現消委會共有5項缺失，包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體，以及保障個人資料私隱及網絡安全意識不足，當中部分缺失甚至包括人為錯誤或疏忽因素。

被問及黑客組織如何取得具管理員權限的帳戶，鍾麗玲坦言相關消委會員工未能提供原因，而消委會亦「解釋唔到」，故私隱專員亦「理解唔到」。鍾又認為消委會通報處理及時，但暫不會就事件對消委會作出檢控，除非消委會違反執行通知才會檢控。

私隱專員首席個人資料主任（合規及查詢）郭正熙表示，暫時共接獲20宗相關查詢及8宗投訴；現已向消委會送達執行通知，指示糾正其違反事項，包括要求為所有遙距存取載有個人資料的系統實施多重身份認證；需聘請獨立資訊安全專家檢視資訊系統保安措施、定期檢視資訊系統的保安措施、制訂清晰全面的政策程序以禁止在測試伺服器內儲存個人資料等。

【更多即時新聞詳情請上東網新聞】