桂冠論壇及香港芭蕾舞團資料外洩 私隱署裁定違反私隱條例

桂冠論壇及香港芭蕾舞團資料外洩
私隱署裁定違反私隱條例

【on.cc東網專訊】香港桂冠論壇委員會及香港芭蕾舞團去年分別遭黑客入侵,分別導致超過8,000人及3.7萬人的個人資料外洩,包括姓名、電話及信用卡資料等。私隱專員公署今日(8日)就相關事件發表調查結果,認為資料外洩事件發生的主因,包括資訊系統管理有欠妥善、對服務供應商採取的資料保安措施缺乏監察等,裁定兩個團體違反《個人資料(私隱)條例》有關個人資料保安的規定。

桂冠論壇的網絡去年9月26日遭黑客入侵,調查確認8,122人受事件影響,當中包括約920名青年科學家申請人及邵逸夫獎得獎者等人士的姓名、地址、護照資料、銀行戶口/信用卡資料等外洩,另有約7,200名電子通訊訂閱戶的姓名及電郵地址受影響。

公署調查發現,黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證,並利用該帳戶通過防火牆成功進入伺服器,並放置勒索軟件「Elbie」,導致儲存在桂冠論壇的一組伺服器及7個端點裝置的檔案被加密。同時,存放於另一組伺服器的備份數據亦遭黑客毁壞。

公署指出,桂冠論壇的防火牆已過時並存在多項嚴重漏洞,防毒軟件的病毒資料庫自2019年起不曾更新,亦不曾為資訊系統進行保安審計及漏洞評估,同時未有將原始數據及備份數據存放於不同網絡,導致備份數據在外洩事件中遭黑客毁壞,無法進行數據復原等,裁定桂冠論壇違反《私隱條例》有關個人資料保安的規定。

此外,香港芭蕾舞團的網絡去年9月15日遭黑客入侵,由於芭蕾舞團無法確實受影響檔案內的資料,估算受影響人士的數目達37,840名,包括芭蕾舞團的僱員、求職者、門票訂購者等,涉及的個人資料包括姓名、地址、香港身份證號碼、銀行戶口號碼及/或信用卡號碼等。

公署調查發現,芭蕾舞團的伺服器運作軟件已過時,並存在多項嚴重的遠端程式碼執行漏洞,惟舞團沒有任何關於保安修補或更新其伺服器的政策或程序,顯示舞團在定期保安修補及更新方面的明顯缺失,裁定芭蕾舞團違反《私隱條例》有關個人資料保安的規定。

公署表示,明白中小企以及非牟利組織投放於網絡安全方面的資源或許有限,惟隨着機構的資訊系統數碼化,全球的網絡攻擊和資料外洩事故亦有上升趨勢,私隱專員鍾麗玲提醒,不論機構大小都不宜掉以輕心,應加強網絡保安及數據安全,包括定期更新軟件、為員工提供適當培訓等,以抵禦惡意攻擊,保障所持有的個人資料

Views: 2