個人資料私隱專員公署今日(23日)公布又一村花園俱樂部有限公司資料外洩事故的調查報告,涉及約9,000人的個人資料。私隱專員認為該俱樂部使用過時並存在保安漏洞的遠端存取軟件、防毒軟件及防火牆,而且伺服器的遠端存取欠缺用戶身份認證措施,加上過長地保留個人資料。專員已向俱樂部送達執行通知,要求糾正違規事項。

私隱公署在去年10月31日接獲又一村花園俱樂部的通報,指存放於伺服器內的俱樂部管理系統檔案遭勒索軟件加密而無法運作。事件合共影響9,045名資料當事人,包括1,553 名活躍會員、1,723 名附屬卡持有人、1,313 名前會員,以及 4,456 名前附屬卡持有人。受影響的個人資料包括姓名、香港身份證號碼及/或護照號碼、出生日期、電郵地址、聯絡電話及地址。

調查發現,事發時相關遠端存取軟件屬已過時版本,並存在已知的保安漏洞。黑客利用該漏洞成功竊取服務供應商的帳戶憑證,從而直接進入儲存大量個人資料的相關伺服器。此外,該伺服器長時間保持登入狀態,俱樂部並無實施額外的身份認證措施,進一步削弱系統的保安防護。同時,俱樂部的防毒軟件及防火牆均已過時,未能偵測及阻止黑客活動。

事發後,又一村花園俱樂部已通知受影響的人士,並採取多項補救措施,包括停止使用存在漏洞的遠端存取軟件、監控所有遠端存取連接、將所有伺服器及端點的防毒軟件及防火牆更新至最新版本,以及將儲存於伺服器內的個人資料檔案加密。

公署認為,又一村花園俱樂部有5大缺失導致今次事件,包括使用已過時並存在保安漏洞的遠端存取軟件;伺服器的遠端存取欠缺用戶身份認證措施;使用已過時的防毒軟件及防火牆;欠缺資訊保安的機構性措施,及過長地保留個人資料。

私隱專員批評,又一村花園俱樂部在外洩事件發生前,未有採取適當及充分的機構性及技術性資訊保安措施,以保障其資訊系統內所儲存的個人資料,以及沒有採取所有切實可行的步驟,以確保個人資料的保存時間不超過使用相關資料實際所需的時間。裁定俱樂部違反《私隱條例》有關個人資料保安的規定及有關個人資料保存期限的規定。

私隱專員已向又一村花園俱樂部送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。

私隱專員鍾麗玲提醒所有收集和保存大量會員及客戶個人資料的機構,應採取主動的策略,定期檢視資訊系統保安措施的成效,並投放足夠資源以保障會員及客戶的個人資料,以遵從《私隱條例》的規定,並符合資料當事人的合理期望。

另外,為協助機構,特別是中小企及非牟利機構,加強保障數據安全及網絡安全,私隱專員公署今日起再度推出「數據安全套餐」。參加「數據安全套餐」的機構可免費進行「數據安全快測」,以評估其現行數據安全措施是否足夠,並在完成「快測」後,獲得5個免費名額,參加由公署舉辦的研習班及講座。@

-------------------
局勢持續演變
與您見證世界格局重塑
-------------------

🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand

📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores