南華體育會年初有會員資料外洩,個人資料私隱專員公署完成有關調查,發現南華會有6項缺失,加上保障個人資料意識薄弱,導致潛伏兩年的黑客成功展開暴力攻擊。私隱公署裁定南華會違反《個人資料私隱條例》規定,已向其送達執行通知要求糾正。
南華會的伺服器年初遭黑客以勒索軟件攻擊和加密,使逾7.2萬名會員資料外洩,包括姓名、身份證和護照號碼、出生日期等。私隱公署調查發現,黑客早於2022年,已入侵南華會一台與互聯網連接的伺服器並安裝惡意程式,潛伏兩年後在今年3月入侵南華會網絡及安裝遠端控制軟件,再藉遠端存取暴力攻擊南華會電腦系統及進行其他惡意活動。
黑客最終透過勒索軟件,加密載有會員個人資料的檔案,以及勒索南華會要求繳付贖金解鎖有關檔案,過程有8台伺服器、一台數據儲存器及18台電腦受攻擊。私隱公署認為,南華會在外洩事故有6項缺失,包括相關伺服器意外地暴露於互聯網、資訊系統欠缺有效偵測措施、沒有為管理員帳戶啟用多重認證功能、南華會缺乏資訊保安政策和指引、沒有定期進行風險評估和保安審計,以及欠缺離線數據備份方案。
個人資料私隱專員鍾麗玲批評,南華會在外洩事件發生前未有採取所有切實可行的步驟,以確保涉事的個人資料受保障,違反了《私隱條例》保障資料第4(1)原則中有關個人資料保安的規定。事件亦顯示,南華會保障個人資料的安全意識薄弱,存在六大缺失,其中之一是資訊系統欠缺有效偵測措施。
她舉例,黑客曾於今年3月15至16日利用暴力攻擊向相關伺服器另一管理員賬戶作出超過43,400次登入嘗試,屢次「密碼嘗試失敗」,最高峰曾經在4小時內錄得逾2萬次,但系統未有啟動封鎖功能,導致黑客能不斷進行暴力攻擊。
她續指,若在黑客兩年前入侵系統時,南華會的系統偵測措施到位,或者警示工具監察伺服器有不尋常活動,察覺到惡意活動並採取適當措施,防止黑客進一步入侵安裝惡意程式,或者能避免資料外洩事件的發生。
今次事件的起因是涉事伺服器曝露於互聯網,鍾麗玲形容這無疑為黑客開啟一個入口或窗口,是導致外洩事件發生的主要原因。私隱公署已指示南華會採取七項措施,以糾正違規事項,例如定期離線備份、聘請獨立專家等。
另外,鍾麗玲指出,近年涉及學校及非牟利機構的資料外洩事故明顯上升,去年接獲的157宗資料外洩事故中,學校及非牟利機構的個案佔整體個案約 39%,比2022年上升接近一倍半,鍾麗玲估計或因學校及非牟利機構存放大量個人資料,令黑客有利可圖,而這些機構的保安意識欠佳,沒有做足相關保安工作,導致外洩事故發生。
她又提醒,學校及非牟利機構不能掉以輕心,應該投放足夠資源提升資料保安措施,減低個人資料系統遭受網絡攻擊的風險。私隱公署由昨日起推出「數據安全」套餐,參加機構可免費進行「數據安全快測」,評估數據安全措施是否足夠;亦將於今年12月分別與教育界及非牟利機構合作舉辦兩場講座。
