裁定南華會資料外洩違例 私隱署批保障個資意識薄弱

【on.cc東網專訊】南華體育會今年3月發生資料外洩事故,個人私隱專員公署完成相關調查。私隱署認為事故是可以避免,但南華會保護會員個人資料的意識薄弱,對於南華會事前未能採取有效資訊系統保安措施,感到非常失望,裁定南華會違反《個人資料私隱條例》,已向南華會送達執行通知,要求糾正,以及防止類似違規情況再次發生。

受外洩事件影響的南華會會員數目為72,315人,所涉及的個人資料包括姓名、香港身份證號碼、護照號碼等。

私隱署的調查發現黑客早於2022年1月已在南華會其中 1台與互聯網連接的伺服器內安裝了惡意程式,到今年3月,黑客透過潛伏在相關伺服器內的惡意程式,入侵南華會網絡,並安裝遠端控制軟件 ,隨後透過遠端存取對南華會的電腦系統展開暴力攻擊,並進行其他惡意活動 ,最終透過勒索軟件將載有會員個人資料的檔案加密。

有關的勒索軟件屬 Trigoma 的變種,外洩事件導致南華會共 8台伺服器、1台數據儲存器及18台電腦遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。

公署指南華會在事件中有6項缺失,包括伺服器被意外暴露在互聯網,成為黑客入侵的跳板、資訊系統亦欠缺偵測措施,未有啟用密碼輸入失敗後的鎖定功能,令黑客可以在4小時內嘗試登入2萬次,南華會亦無為管理員帳戶啟用多重認證功能,欠缺保安政策及指引,以及沒有定期進行風險評估及保安審計,亦欠缺離線數據備份方案。

基於有關調查結果, 公署已向南華會發出執行通知,要求每年至少審視一次個人資料系統連結互聯網的必要性,定期檢視及更新偵測及警示工具,聘請獨立資訊保安專家每年進行風險評估及保安審計。南華會須在2個月內提交改善措施的證明文件。

至於為何黑客潛伏逾2年始犯案,鍾麗玲估計是相關黑客在期間收集一定的資訊量,待時機成熟才下手;亦有可能是犯案的不止一個黑客,有人收集足夠資料後轉售另一黑客才發起大規模攻擊和勒索。她呼籲各機構要小心資訊系統的保安,形容是電子夾萬,絕不能掉以輕心或心存僥倖,否則內裏的個人資料或敏感資料就會暴露。個人資料一旦遭到黑客盜取,就等如洩露進互聯網的大海,幾乎不可能刪除,受影響人士要留意有否異常交易,以及要改密碼和使用多種認證。

被問及黑客向南華會提出勒索多少贖金,她指不便透露,但強調機構如遇上類似情況絕對不要順從黑客要求,以免助長非法行為。

【更多即時新聞詳情請上東網新聞