樂施會去年7月發生資料外洩事故。個人資料私隱專員公署今日(23日)發表調查結果,指事件源於樂施會的過時防火牆存在嚴重漏洞、未有啟用多重認證功能等因素。黑客利用防火牆漏洞入侵樂施會系統,共37台伺服器及24台電腦被入侵,超過330GB數據被竊取,約55萬人可能受影響。
公署調查發現,黑客透過暴力攻擊及利用樂施會防火牆的嚴重漏洞,執行遠端程式碼及指令,以取得保密插口層虛擬私有網絡(SSLVPN)主控台的存取權限,繼而控制一個IT人員的帳戶。
黑客透過SSLVPN連接到樂施會的資訊系統後,識別出樂施會網絡中存有漏洞的伺服器,並取得樂施會的活動目錄(ActiveDirectory)的管理員權限,隨後黑客入侵樂施會的伺服器、工作電腦及手提電腦。
黑客於去年7月10日在樂施會的資訊系統放置勒索軟件「DarkHack」,導致儲存在系統內的檔案及資料被加密及竊取。事件中樂施會共37台伺服器及24台電腦被入侵,當中包括檔案伺服器;捐款者資料庫及相關暫存伺服器;樂施會毅行者網站資料庫;人力資源系統,及ActiveDirectory伺服器。
調查發現,有超過330GB數據被竊取,約550,000人可能受影響,包括樂施會捐款者、活動參加者、義工、項目夥伴、項目參與者、項目顧問、現職及離職僱員、求職者及管治成員。涉及的個人資料包括姓名、配偶姓名、香港身份證號碼或副本、護照號碼或副本、電話號碼、信用卡號碼及銀行賬戶號碼等。
私隱專員鍾麗玲認為,事件的原因包括樂施會的防火牆過時及存在嚴重漏洞;未有啟用多重認證功能;沒有對伺服器進行關鍵保安修補;資訊系統欠缺有效的偵測措施;對資訊系統進行的保安評估不足;資訊保安政策有欠具體,以及過長地保存個人資料。
其中,樂施會意外地保存部份個人資料超過實際所需的時間,包括在7年前舉辦的活動約4,000項參加者的個人資料(包括姓名、地址、電話號碼及/或電郵地址);在2021至2024年間樂施會項目600項落選者的個人資料(包括姓名、出生日期、電話號碼及電郵地址);50項與顧問的香港身份證號碼及履歷有關的個人資料,這些顧問的個人資料在完成向樂施會提供顧問服務超過7年仍被保存;及35份前管治委員會成員的香港身份證或護照副本。
鍾麗玲指,樂施會是一間具規模的機構,恆常地持有並處理大量不同人士的個人資料,但調查顯示樂施會未有採取足夠及有效措施保障資訊系統的安全,亦未有制訂有效機制適時銷毀超過保存期限的個人資料,以致發生大規模資料外洩事故。
私隱專員裁定樂施會違反《個人資料(私隱)條例》有關個人資料保存期限的規定,沒有採取切實可行步驟確保個人資料的保存時間不超過使用資料所需的時間。私隱專員已向樂施會送達執行通知,指示其糾正違規事項。@
----------------------
🎯 專題:中共海外升級攻擊法輪功
https://hk.epochtimes.com/category/專題/中共海外升級攻擊法輪功
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
