南华会7.2万会员资料外泄完成调查 私隐公署指保障私隐意识薄弱
个人私隐专员公署完成调查南华体育会,今年3月发生的资料外泄事故。事故中共有超过7.2万名南华会会员资料被外泄,包括姓名、身分证号码、电话号码、相片及地址等。公署认为事故是可以避免,但南华会保护会员个人资料的意识薄弱,违反了《个人资料私隐条例》的相关规定。
公署调查发现,黑客早在前年年初,已经在南华会一台与互联网连接的服务器内,安装恶意程式,直至今年3月入侵南华会网络,安装远端控制软件,展开暴力攻击。黑客最终透过勒索软件将载有会员个人资料的档案加密,涉及8台服务器、1台数据储存器及18部电脑,并要求南华会支付赎金。
公署指,南华会的服务器被意外暴露在互联网,成为黑客入侵的跳板。南华会资讯系统亦欠缺侦测措施,未有启用密码输入失败后的锁定功能,令黑客可以在4小时内尝试登入2万次。南华会亦无为管理员帐户启用多重认证功能,欠缺保安政策及指引等。
公署已向南华会发出执行通知,要求每年至少审视一次个人资料系统连结互联网的必要性,定期检视及更新侦测及警示工具,聘请独立资讯保安专家每年进行风险评估及保安审计。南华会须在2个月内提交改善措施的证明文件。
公署又指,外泄的个人资料或已被转卖多次,提醒受影响人士要提高警惕,留意个人银行户口有无异常交易,并应更改登入密码,启用双重认证功能等。公署又呼吁,受黑客入侵的机构不应提供赎金,交赎金不等于能取回资料,只会助长非法行为。
公署又指,学校及非牟利机构的资料外泄事故通报数字有上升趋势,今年头3季录得51宗个案,占全部通报约三分之一。公署指,去年共157宗通报中,约四成来自学校及非牟利机构,也按年上升接近1倍。
公署提醒学校及非牟利机构不能掉以轻心,应投放足够资源提升资料保安措施。公署推出“数据安全套餐”,免费评估学校及机构的数据安全措施是否足够,又会举办研习班及讲座等。