#裁定南华会资料外洩违例 私隐署批保障个资意识薄弱简介
【on.cc东网专讯】南华体育会今年3月发生资料外洩事故,个人私隐专员公署完成相关调查。私隐署认为事故是可以避免,但南华会保护会员个人资料的意识薄弱,对于南华会事前未能採取有效资讯系统保安措施,感到非常失望,裁定南华会违反《个人资料私隐条例》,已向南华会送达执行通知,要求纠正,以及防止类似违规情况再次发生。
受外洩事件影响的南华会会员数目为72,315人,所涉及的个人资料包括姓名、香港身份证号码、护照号码等。
私隐署的调查发现黑客早于2022年1月已在南华会其中 1台与互联网连接的伺服器内安装了恶意程式,到今年3月,黑客透过潜伏在相关伺服器内的恶意程式,入侵南华会网络,并安装远端控制软件 ,随后透过远端存取对南华会的电脑系统展开暴力攻击,并进行其他恶意活动 ,最终透过勒索软件将载有会员个人资料的档案加密。
有关的勒索软件属 Trigoma 的变种,外洩事件导致南华会共 8台伺服器、1台数据储存器及18台电脑遭受勒索软件攻击及加密。黑客曾要求南华会支付赎金,为已被加密的档案解锁。
公署指南华会在事件中有6项缺失,包括伺服器被意外暴露在互联网,成为黑客入侵的跳板、资讯系统亦欠缺侦测措施,未有启用密码输入失败后的锁定功能,令黑客可以在4小时内尝试登入2万次,南华会亦无为管理员帐户启用多重认证功能,欠缺保安政策及指引,以及没有定期进行风险评估及保安审计,亦欠缺离线数据备份方案。
基于有关调查结果, 公署已向南华会发出执行通知,要求每年至少审视一次个人资料系统连结互联网的必要性,定期检视及更新侦测及警示工具,聘请独立资讯保安专家每年进行风险评估及保安审计。南华会须在2个月内提交改善措施的证明文件。
至于为何黑客潜伏逾2年始犯案,锺丽玲估计是相关黑客在期间收集一定的资讯量,待时机成熟才下手;亦有可能是犯案的不止一个黑客,有人收集足够资料后转售另一黑客才发起大规模攻击和勒索。她呼吁各机构要小心资讯系统的保安,形容是电子夹万,绝不能掉以轻心或心存侥倖,否则内裏的个人资料或敏感资料就会暴露。个人资料一旦遭到黑客盗取,就等如洩露进互联网的大海,几乎不可能删除,受影响人士要留意有否异常交易,以及要改密码和使用多种认证。
被问及黑客向南华会提出勒索多少赎金,她指不便透露,但强调机构如遇上类似情况绝对不要顺从黑客要求,以免助长非法行为。
【更多即时新闻详情请上东网新闻】
其他人也在看
评论列表 (0)