南華會7.2萬會員資料外洩完成調查　私隱公署指保障私隱意識薄弱

個人私隱專員公署完成調查南華體育會，今年3月發生的資料外洩事故。事故中共有超過7.2萬名南華會會員資料被外洩，包括姓名、身分證號碼、電話號碼、相片及地址等。公署認為事故是可以避免，但南華會保護會員個人資料的意識薄弱，違反了《個人資料私隱條例》的相關規定。

公署調查發現，黑客早在前年年初，已經在南華會一台與互聯網連接的伺服器內，安裝惡意程式，直至今年3月入侵南華會網絡，安裝遠端控制軟件，展開暴力攻擊。黑客最終透過勒索軟件將載有會員個人資料的檔案加密，涉及8台伺服器、1台數據儲存器及18部電腦，並要求南華會支付贖金。

公署指，南華會的伺服器被意外暴露在互聯網，成為黑客入侵的跳板。南華會資訊系統亦欠缺偵測措施，未有啟用密碼輸入失敗後的鎖定功能，令黑客可以在4小時內嘗試登入2萬次。南華會亦無為管理員帳戶啟用多重認證功能，欠缺保安政策及指引等。

公署已向南華會發出執行通知，要求每年至少審視一次個人資料系統連結互聯網的必要性，定期檢視及更新偵測及警示工具，聘請獨立資訊保安專家每年進行風險評估及保安審計。南華會須在2個月內提交改善措施的證明文件。

公署又指，外洩的個人資料或已被轉賣多次，提醒受影響人士要提高警惕，留意個人銀行戶口有無異常交易，並應更改登入密碼，啟用雙重認證功能等。公署又呼籲，受黑客入侵的機構不應提供贖金，交贖金不等於能取回資料，只會助長非法行為。

公署又指，學校及非牟利機構的資料外洩事故通報數字有上升趨勢，今年頭3季錄得51宗個案，佔全部通報約三分之一。公署指，去年共157宗通報中，約四成來自學校及非牟利機構，也按年上升接近1倍。

公署提醒學校及非牟利機構不能掉以輕心，應投放足夠資源提升資料保安措施。公署推出「數據安全套餐」，免費評估學校及機構的數據安全措施是否足夠，又會舉辦研習班及講座等。