私隱專員公署今日(8日)發表桂冠論壇和香港芭蕾舞團去年系統遭受黑客攻擊事件的調查結果,署方指兩間機構未有採取可行的措施保障資料,違反《私隱條例》的規定,已向兩者發出執行通知要求糾正。
桂冠論壇去年9月27日向公署通報資料外洩,指其電腦系統及檔案伺服器遭勒索軟件攻擊。調查發現,桂冠論壇的網絡最初於2023年9月26日遭黑客入侵,黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證。黑客隨後於桂冠論壇網絡內進行橫向移動及放置勒索軟件「Elbie」,導致儲存在桂冠論壇的一組伺服器及7個端點裝置的檔案被加密。同時,存放於另一組伺服器的備份數據亦遭黑客毀壞。
受事件影響人數為8,122人,涉及約7,200名電子通訊訂閱戶的姓名及電郵地址,另約920名的受影響人士包括青年科學家申請人、邵逸夫獎得獎者及其隨行人員、本地科學家及講者、論壇大使及助理申請者、現職及前僱員等,涉及的個人資料包括姓名、地址、電話號碼、護照或香港身份證號碼、銀行戶口、信用卡資料、履歷表和成績單等。
私隱專員經調查後認為,桂冠論壇因多項缺失導致資料外洩,包括機構對服務供應商採取的資料保安措施缺乏監察,以致防火牆系統過時、防毒軟件的病毒資料庫自2019年起未有再更新。機構亦缺乏資訊保安政策指引,令員工及服務供應商未能了解其網絡保安責任;機構亦未有將原始數據及備份數據存放於不同網絡,導致備份數據遭黑客毀壞,無法復原。
至於另一宗資料外洩事件涉及芭蕾舞團,其於去年10月16日向公署通報資料外洩事故。公署調查發現,芭蕾舞團的一組伺服器的運作軟件過時,黑客於去年9月15日利用漏洞入侵其網絡,並透過惡意工具及程式取得資訊科技管理員及用戶的帳戶密碼,進而獲取與芭蕾舞團的網絡的相關資料及與網絡連接的電腦的詳情。
黑客於9月17日放置勒索軟件「LockBit」,導致儲存在芭蕾舞團資訊系統內的檔案被加密,並竊取系統內的資料及檔案。
芭蕾舞團無法確實受影響檔案內的資料,據該機構估算,受外洩事件影響的人士數目可能達37,840人,當中包括芭蕾舞團的僱員、求職者、門票訂購者、客席藝術家、活動參加者、捐款者、贊助者及供應商。涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、出生日期、地址、電郵地址、電話號碼、健康資料、銀行戶口號碼、信用卡號碼、僱傭資料及學歷資料。
私隱專員鍾麗玲認為,今次事件的成因主要是芭蕾舞團的相關伺服器的運作軟件已過時,並存在多項嚴重的遠端程式碼執行漏洞,機構沒有任何關於保安修補或更新其伺服器的政策或程序,凸顯芭蕾舞團在定期保安修補及更新方面的明顯缺失。相關伺服器在服務供應商進行系統遷移過程中,被不必要地曝露於互聯網,大幅增加遭受網絡攻擊的風險。公署亦認為芭蕾舞團缺乏監察服務供應商,未有對資訊系統進行保安評估及保安審計,增加受攻擊的風險。
私隱專員公署表示,明白中小企以及非牟利組織投放於網絡安全方面的資源或許有限,唯隨着機構的資訊系統數碼化,全球的網絡攻擊和資料外洩事故亦有上升趨勢,私隱專員鍾麗玲提醒機構,面對與日俱增的網絡安全威脅,不論機構大小都不宜掉以輕心,應加強網絡保安及數據安全以抵禦惡意攻擊,從而保障所持有的個人資料。公署建議機構應定期進行保安系統風險評估及更新軟件,並定期對資訊及通訊系統進行保安漏洞評估及滲透測試。@
------------------
🗞️9.17暫別實體 立即預購
https://bit.ly/buybyepaper
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
