南華體育會(南華會)計算機服務(wù)器3月時遭黑客入侵、資料外泄,個人資料私隱專員公署已完成有關(guān)調(diào)查。公署指,受外泄事件影響的南華會會員數(shù)目為超過7.2萬名,所涉及的個人資料包括姓名、香港身份證號碼、護(hù)照號碼、相片、出生日期及地址等。私隱專員鐘麗玲認(rèn)為南華會對保障所持有的會員個人資料意識薄弱,裁定南華會違反了《個人資料(私隱)條例》的相關(guān)規(guī)定,并已向南華會送達(dá)執(zhí)行通知,指示其采取措施以糾正違規(guī)事項,以及防止類似違規(guī)情況再次發(fā)生。
▲鐘麗玲認(rèn)為南華會的多項缺失是導(dǎo)致外泄事件發(fā)生的主因。
▲南華體育會電腦伺服器3月時遭黑客入侵。
南華會于今年3月18日向私隱專員公署通報資料外泄事故,表示其服務(wù)器遭勒索軟件攻擊及惡意加密。公署調(diào)查發(fā)現(xiàn),黑客早于2022年1月已在南華會一臺與互聯(lián)網(wǎng)連接的服務(wù)器內(nèi)安裝了惡意程序,惟沒有證據(jù)顯示黑客當(dāng)時有進(jìn)一步的惡意活動。今年3月,黑客透過潛伏在相關(guān)服務(wù)器內(nèi)的惡意程序入侵南華會網(wǎng)絡(luò)并安裝遠(yuǎn)端控制軟件,隨后透過遠(yuǎn)端存取對南華會的計算機系統(tǒng)展開暴力攻擊,并進(jìn)行其他惡意活動,包括網(wǎng)絡(luò)偵察、停用防毒及反惡意軟件等,最終透過勒索軟件將載有會員個人資料的檔案加密。
有關(guān)的勒索軟件屬Trigona的變種,外泄事件導(dǎo)致南華會共8臺服務(wù)器、1臺數(shù)據(jù)儲存器及18臺計算機遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。南華會在外泄事件發(fā)生后已通知所有受影響的會員,并采取一系列的改善措施以提升系統(tǒng)安全,包括限制南華會網(wǎng)內(nèi)服務(wù)連接至互聯(lián)網(wǎng)、為管理員賬戶啟用多重認(rèn)證功能等。
經(jīng)考慮外泄事件的情況及調(diào)查所獲得的資料,鐘麗玲認(rèn)為南華會的多項缺失是導(dǎo)致外泄事件發(fā)生的主因,包括相關(guān)服務(wù)器被意外地曝露于互聯(lián)網(wǎng),導(dǎo)致南華會的計算機系統(tǒng)遭受網(wǎng)絡(luò)攻擊的風(fēng)險大幅增加,最終黑客透過相關(guān)服務(wù)器作為踏板,入侵南華會網(wǎng)絡(luò)并進(jìn)行勒索軟件攻擊;信息系統(tǒng)欠缺有效的偵測措施,讓黑客于3月15至16日期間合共向相關(guān)服務(wù)器作出超過4.34萬次的登入嘗試,當(dāng)中在4小時內(nèi)更錄得超過 2萬次的登入嘗試;沒有為管理員賬戶啟用多重認(rèn)證功能,及欠缺信息保安政策及指引等。
公署:如南華會事發(fā)前有足夠措施可避免事故
私隱專員認(rèn)為,假如南華會在事發(fā)前已采取適當(dāng)及足夠的技術(shù)性保安措施,是次資料外泄事故是相當(dāng)有機會可以避免的。因此,私隱專員裁定南華會違反了《個人資料(私隱)條例》的保障資料第4(1)原則有關(guān)個人資料保安的規(guī)定。
學(xué)校及非牟利機構(gòu)資料外泄事故宗數(shù)上升一倍半
另外,公署留意到近年涉及學(xué)校及非牟利機構(gòu)的資料外泄事故呈明顯的上升趨勢。去年,公署接獲的157宗資料外泄事故通報當(dāng)中,學(xué)校及非牟利機構(gòu)的個案共61宗(占整體個案約39%),比2022年的25宗(占整體個案約24%)上升接近一倍半。今年年首3季,公署共接獲51宗來自學(xué)校及非牟利機構(gòu)的資料外泄事故通報,占整體個案總數(shù)約33%,與上年同期接獲此類個案的百分比相若。因此,公署認(rèn)為學(xué)校及非牟利機構(gòu)不能掉以輕心,應(yīng)投放足夠資源以提升資料保安措施,從而減低個人資料系統(tǒng)遭受網(wǎng)絡(luò)攻擊的風(fēng)險。
以上內(nèi)容歸星島新聞集團所有,未經(jīng)許可不得擅自轉(zhuǎn)載引用。
