消委會遭黑客入侵洩逾450人資料 私隱署揭未啟用多重認證

消委會去年遭受勒索軟件攻擊致資料外洩。個人資料私隱專員公署今(2日)公布事件調查結果，指一駭客組織取得消委會一個管理員權限帳戶憑證，隨後透過虛擬私有網絡(VPN)進入消委會網絡，並對消委會的服務器及端點裝置進行勒索軟件攻擊；而消委會亦有5項缺失，導致超過450人的個人資料外洩，當中近半屬投訴人。私隱專員認為消委會違反《個人資料(私隱)條例》，敦促遙距登入資訊及通訊系統使用多重身份驗證並設立穩健的網絡保安框架。

私隱專員：消委會未啟用多重認證

調查指，事發2023年9月4日黑客組織ALPHV獲取並利用消委會一個具管理員權限的帳戶透過虛擬私有網絡進入消委會的網絡，並在同年以勒索軟件攻擊伺服器及端點裝置。事件導致消委會的93個系統遭到惡意加密，11個伺服器及端點裝置被駭客入侵。消委會翌日向公署通報該事件。

調查的網絡安全專家指，該事件涉及的數據少於1.5GB，包括黑客進入消委會後進行的活動(例如網絡掃瞄)。事件中4個載有個人資料的檔案遭受未獲准許的查閱，涉及超過450名人士的個人資料：包括投訴人(289人)、資訊科技服務供應商的員工(26人)、消委會的現職(138人)及已離職員工(24人)。

而受影響的個人資料包括姓名、手提電話號碼、住宅或通訊地址、電郵地址、收入範圍、年齡範圍及/或投訴性質及簡要、姓名、所屬部門名稱、公司電話號碼及/或職銜等。

私隱專員鍾麗玲根據調查所獲得的證據，指導致事故的最大原因是消委會沒有為遠端存取資料啟用多重認證功能，導致駭客能利用取得的帳戶憑證進入消委會的網絡。另外，消委會沒有妥善設定用作偵測及攔截網路安全威脅的網路安全軟體，如未有啟動該網絡安全軟件的警報功能，令該網絡安全軟件未能在檢測到網絡安全威脅後發出警報電郵。消委會回應指，由負責該網絡安全軟件的消委會員工及供應商員工均已離職，消委會未能確定未有啟動警報功能原因。

私隱專員：消委會欠缺足夠保全措施

鍾麗玲指，消委會欠缺足夠保全措施禁止或防止於測試服務器內儲存個人資料，在事發3個月前被儲存於沒有配置網絡安全軟件的一個測試伺服器內，隨後遭受黑客攻擊。但事發時消委會沒有任何書面政策禁止或防止員工儲存個人資料於測試伺服器。消委會亦被發現資訊保全政策有欠全面及具體及保障個人資料私隱及網路安全意識不足，「調查發現一名前資訊科技部員工無於系統設定實施消委會訂定的複雜密碼政策」。

首席個人資料主任(合規及查詢)郭正熙表示，私隱專員已向消委會送達執行通知，指示消委會糾正其違反事項，以及防止類似違規情況再次發生。事項包括所有遙距存取載有個人資料的系統實施多重身分認證、聘請獨立的資訊安全專家檢視資訊系統的保安、定期檢視資訊系統的保安措施；制訂清晰及全面的政策及程序、加強數據安全及資料保護的培訓；由執行通知的日期起計2個月內向專員提供文件，證明已完成等。

消委會：事故後即時糾正問題

消委會回應調查報告指，消委會深表重視私隱專員公署指出的不足之處和提出的具體建議，並在事故發生後已積極採取即時行動糾正問題，當中包括為遠端存取資料啟用多重要素認證(MFA)功能、全面檢視網絡安全方案的功能及作出妥善設定，及進一步加強內部培訓以提升員工對網絡安全的意識和行為。消委會又指正完善其資訊科技政策和工作指引，同時正委託威脅偵測與應變服務供應商，以加強抵禦網絡保安威脅的能力。

原文刊登於 AM730 https://www.am730.com.hk/本地/消委會遭黑客入侵洩逾450人資料-私隱署揭未啟用多重認證/449457?utm_source=yahoorss&utm_medium=referral