南華會7.2萬會員資料外洩 私隱公署:會方多項缺失為意外主因 裁定違反私隱條例
發佈時間:12:39 2024-10-22
南華體育會(南華會)電腦伺服器3月時遭黑客入侵、資料外洩,個人資料私隱專員公署已完成有關調查。公署指,受外洩事件影響的南華會會員數目為超過7.2萬名,所涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、出生日期及地址等。私隱專員鍾麗玲認為南華會對保障所持有的會員個人資料意識薄弱,裁定南華會違反了《個人資料(私隱)條例》的相關規定,並已向南華會送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
相關新聞:
南華會資料外洩|私隱公署:約7萬人受影響 警列「勒索」暫未有人被捕
南華會電腦伺服器遭黑客入侵 已報警並啟動應急計劃 暫未有會員資料外洩
南華會於今年3月18日向私隱專員公署通報資料外洩事故,表示其伺服器遭勒索軟件攻擊及惡意加密。公署調查發現,黑客早於2022年1月已在南華會一台與互聯網連接的伺服器內安裝了惡意程式,惟沒有證據顯示黑客當時有進一步的惡意活動。今年3月,黑客透過潛伏在相關伺服器內的惡意程式入侵南華會網絡並安裝遠端控制軟件,隨後透過遠端存取對南華會的電腦系統展開暴力攻擊,並進行其他惡意活動,包括網絡偵察、停用防毒及反惡意軟件等,最終透過勒索軟件將載有會員個人資料的檔案加密。
有關的勒索軟件屬Trigona的變種,外洩事件導致南華會共8台伺服器、1台數據儲存器及18台電腦遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。南華會在外洩事件發生後已通知所有受影響的會員,並採取一系列的改善措施以提升系統安全,包括限制南華會網內服務連接至互聯網、為管理員帳戶啟用多重認證功能等。
經考慮外洩事件的情況及調查所獲得的資料,鍾麗玲認為南華會的多項缺失是導致外洩事件發生的主因,包括相關伺服器被意外地曝露於互聯網,導致南華會的電腦系統遭受網絡攻擊的風險大幅增加,最終黑客透過相關伺服器作為踏板,入侵南華會網絡並進行勒索軟件攻擊;資訊系統欠缺有效的偵測措施,讓黑客於3月15至16日期間合共向相關伺服器作出超過4.34萬次的登入嘗試,當中在4小時內更錄得超過 2萬次的登入嘗試;沒有為管理員帳戶啟用多重認證功能,及欠缺資訊保安政策及指引等。
公署:如南華會事發前有足夠措施可避免事故
私隱專員認為,假如南華會在事發前已採取適當及足夠的技術性保安措施,是次資料外洩事故是相當有機會可以避免的。因此,私隱專員裁定南華會違反了《個人資料(私隱)條例》的保障資料第4(1)原則有關個人資料保安的規定。
學校及非牟利機構資料外洩事故宗數上升一倍半
另外,公署留意到近年涉及學校及非牟利機構的資料外洩事故呈明顯的上升趨勢。去年,公署接獲的157宗資料外洩事故通報當中,學校及非牟利機構的個案共61宗(佔整體個案約39%),比2022年的25宗(佔整體個案約24%)上升接近一倍半。今年年首3季,公署共接獲51宗來自學校及非牟利機構的資料外洩事故通報,佔整體個案總數約33%,與上年同期接獲此類個案的百分比相若。因此,公署認為學校及非牟利機構不能掉以輕心,應投放足夠資源以提升資料保安措施,從而減低個人資料系統遭受網絡攻擊的風險。
記者:蔡思宇
