南華會的電腦伺服器今年3月遭黑客入侵,影響72,315名會員,涉姓名、香港身份證號碼、相片、地址、電話號碼等個人資料。私隱專員公署完成調查上述事故,私隱專員鍾麗玲認為,南華會對保障所持有的會員個人資料意識薄弱,對其未能採取有效的資訊系統保安措施,感到非常失望,並向南華會送達執行通知,防止類似情況再發生。
私隱專員公署今(22日)發表上述事故的調查結果。調查發現,黑客早於2022年1月,在南華會一台與互聯網連接的伺服器內,安裝惡意程式,但沒有證據顯示黑客當時有進一步的惡意活動。
到今年3月,黑客透過潛伏在相關伺服器內的惡意程式,入侵南華會網絡並安裝遠端控制軟件,隨後透過遠端存取,攻擊南華會的電腦系統,並進行其他惡意活動,包括網絡偵察、防禦規避、停用防毒及反惡意軟件、安裝憑證竊取工具及橫向移動,最終透過勒索軟件,將載有會員個人資料的檔案加密。有關的勒索軟件屬Trigona的變種。
調查指,黑客於3月15至16日,合共向相關伺服器的另一管理員帳戶,作出超過4.34萬次的登入嘗試,當中在4小時內更錄得超過2萬次的登入嘗試。由於南華會當時未有啟用密碼嘗試失敗的鎖定功能,導致黑客能不斷進行暴力攻擊。
相片、地址、緊急聯絡人資料等外洩
外洩事件導致南華會共8台伺服器、一台數據儲存器及18部電腦,遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。
受外洩事件影響的南華會會員數目為72,315名,所涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、出生日期、地址、電郵地址、電話號碼及緊急聯絡人的姓名及電話號碼。
南華會在外洩事件發生後,已通知所有受影響的會員,並採取一系列的改善措施以提升系統安全,包括限制南華會網內服務連接至互聯網、為管理員帳戶啟用多重認證功能、制訂密碼使用指引、定期掃瞄網絡,以識別保安漏洞及全面執行資料離線備份等。
南華會多項缺失 事故原可避免
鍾麗玲認為,外洩事件發生的主因,是南華會缺失。她指,相關伺服器被意外地曝露於互聯網;資訊系統欠缺有效的偵測措施,未能識別黑客早於2022年1月的惡意活動;沒有為管理員帳戶啟用多重認證功能;欠缺資訊保安政策及指引,亦沒有制訂書面密碼政策,如列明密碼複雜度、啟用密碼嘗試失敗的鎖定功能及更改密碼期限等措施,以保障帳戶安全;沒有定期進行風險評估及保安審計;及缺離線數據備份方案,增加了數據復原的難度。
鍾麗玲認為,南華會對保障所持有的會員個人資料意識薄弱。作為一個歷史悠久的體育團體及持有大量個人資料的機構,她對南華會在外洩事件發生前,未能採取有效的資訊系統保安措施,保障會員的個人資料安全,感到非常失望。
鍾表示,假如南華會在事發前已採取適當及足夠的機構性及技術性的保安措施,是次資料外洩事故是相當有機會可以避免的。因此,她裁定南華會沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障,違反《個人資料(私隱)條例》的保障資料第 4(1)原則有關個人資料保安的規定。
鍾已向南華會送達執行通知,指示其採取措施以糾正違規事項,防止類似違規情況再次發生。
去年學校及非牟利機構資料外洩事故 按年多近倍半
公署留意到,近年涉及學校及非牟利機構的資料外洩事故呈明顯的上升趨勢。
2023年,公署接獲的157宗資料外洩事故通報當中,學校及非牟利機構的個案共61宗(佔整體個案約39%),比2022年的25宗(佔整體個案約24%)上升接近一倍半(140%)。2024年首三季,公署共接獲51宗來自學校及非牟利機構的資料外洩事故通報,佔整體個案總數約33%,與上年同期佔比相若。
鍾麗玲認為,學校及非牟利機構不能掉以輕心,應投放足夠資源以提升資料保安措施,從而減低個人資料系統遭受網絡攻擊的風險。
私隱專員公署2022年至2024年(截至9月)接獲涉及學校及非牟利機構的資料外洩事故通報的統計數字如下:
| 年份 |
學校及非牟利機構的資料外洩事故通報宗數(百分比) |
資料外洩事故通報總數 |
|---|---|---|
| 2022年 | 25(約24%) | 105 |
| 2023年 | 61(約39%) | 157 |
| 2014年(截至9月) | 51(約33%) | 155 |
另一方面,公署即日起推出「數據安全」套餐,參加「數據安全」套餐的機構,可免費進行「數據安全快測」,評估其數據安全措施是否足夠,並在完成「快測」後,享有5個免費名額參加由公署舉辦的研習班及講座。@
------------------
🏵️《九評》20周年👉🏻 https://hk.epochtimes.com/category/專題/退黨大潮
💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
