伺服器遭攻擊 勒索贖金 銀行學會洩逾11萬人資料

【本報訊】個人資料私隱專員公署昨公布，銀行業培訓機構香港銀行學會逾1.3萬名會員及約10萬名非會員的個人資料被外洩，公署已完成事故調查。專員鍾麗玲認為，該學會對資料保安風險管理欠佳、資訊系統管理有欠妥善、未能適時啟用多重認證功能，公署已向該學會送達執行通知，以防止有關情況再發生，又要求該學會兩個月內提交報告。公署又建議有關人士應妥善監督服務提供者、委任專責人員負責保障資料等措施。

包括身份證信用卡等資料

署理首席個人資料主任（合規及查詢）郭正熙表示，事件源於該學會向公署通報資料外洩事故，指其名下6台載有個人資料的伺服器遭勒索軟件攻擊及惡意加密，一名黑客威脅該學會將該些伺服器內的檔案上載至互聯網，並要求學會支付贖金，為已被加密的檔案解鎖。郭補充，除姓名、聯絡資料、僱主名稱及職位外，部分人的身份證、信用卡號碼、出生日期、專業認證詳情和考試結果亦受影響。

郭又指，該學會在2018年中安裝和啟用一台防火牆，但該防火牆生產商在網頁發出保安建議，生產商指有黑客披露其作業系統的漏洞，而攻擊者可繞過限制直接取得保密插口層虛擬私有網絡的帳戶名稱及密碼。

該防火牆生產商呼籲用家立即停用「保密插口層虛擬私有網絡」功能，直至更新作業系統及重設所有帳戶密碼，同時建議啟用多重認證。該學會因疫情推行在家工作，於是啟用有關功能，惟事前未曾修補該防火牆相關漏洞。

該學會向公署解釋，該防火牆由服務供應商負責保養，該學會及該服務供應商直至相關事件發生前並不知悉相關漏洞。該學會承認，事件發生前未曾對所有連接互聯網的伺服器、應用程式及端點裝置進行漏洞掃描，並指出該服務供應商未有建議該學會進行漏洞掃描。