桂冠論壇及香港芭蕾舞團資料外洩 私隱署裁定違反私隱條例

【on.cc東網專訊】香港桂冠論壇委員會及香港芭蕾舞團去年分別遭黑客入侵，分別導致超過8,000人及3.7萬人的個人資料外洩，包括姓名、電話及信用卡資料等。私隱專員公署今日(8日)就相關事件發表調查結果，認為資料外洩事件發生的主因，包括資訊系統管理有欠妥善、對服務供應商採取的資料保安措施缺乏監察等，裁定兩個團體違反《個人資料（私隱）條例》有關個人資料保安的規定。

桂冠論壇的網絡去年9月26日遭黑客入侵，調查確認8,122人受事件影響，當中包括約920名青年科學家申請人及邵逸夫獎得獎者等人士的姓名、地址、護照資料、銀行戶口／信用卡資料等外洩，另有約7,200名電子通訊訂閱戶的姓名及電郵地址受影響。

公署調查發現，黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證，並利用該帳戶通過防火牆成功進入伺服器，並放置勒索軟件「Elbie」，導致儲存在桂冠論壇的一組伺服器及7個端點裝置的檔案被加密。同時，存放於另一組伺服器的備份數據亦遭黑客毁壞。

公署指出，桂冠論壇的防火牆已過時並存在多項嚴重漏洞，防毒軟件的病毒資料庫自2019年起不曾更新，亦不曾為資訊系統進行保安審計及漏洞評估，同時未有將原始數據及備份數據存放於不同網絡，導致備份數據在外洩事件中遭黑客毁壞，無法進行數據復原等，裁定桂冠論壇違反《私隱條例》有關個人資料保安的規定。

此外，香港芭蕾舞團的網絡去年9月15日遭黑客入侵，由於芭蕾舞團無法確實受影響檔案內的資料，估算受影響人士的數目達37,840名，包括芭蕾舞團的僱員、求職者、門票訂購者等，涉及的個人資料包括姓名、地址、香港身份證號碼、銀行戶口號碼及／或信用卡號碼等。

公署調查發現，芭蕾舞團的伺服器運作軟件已過時，並存在多項嚴重的遠端程式碼執行漏洞，惟舞團沒有任何關於保安修補或更新其伺服器的政策或程序，顯示舞團在定期保安修補及更新方面的明顯缺失，裁定芭蕾舞團違反《私隱條例》有關個人資料保安的規定。

公署表示，明白中小企以及非牟利組織投放於網絡安全方面的資源或許有限，惟隨着機構的資訊系統數碼化，全球的網絡攻擊和資料外洩事故亦有上升趨勢，私隱專員鍾麗玲提醒，不論機構大小都不宜掉以輕心，應加強網絡保安及數據安全，包括定期更新軟件、為員工提供適當培訓等，以抵禦惡意攻擊，保障所持有的個人資料