洩大量資料 黑客早潛伏南華會難辭其咎

南華體育會（南華會）電腦伺服器3月時遭黑客入侵，逾7.2萬名資料外洩，包括姓名、香港身份證號碼、護照號碼、相片、出生日期及地址等，個人資料私隱專員公署已完成有關調查。私隱專員鍾麗玲認為南華會對保障所持有的會員個人資料意識薄弱，裁定南華會違反了《個人資料（私隱）條例》的相關規定，並已向南華會送達執行通知，指示其採取措施以糾正違規事項，以及防止類似情況再發生。
私隱專員指保障個資意識薄弱

公署調查發現，黑客早於2022年1月已在南華會一台與互聯網連接的伺服器內安裝了惡意程式，直至今年3月才透過潛伏已久的惡意程式入侵南華會網絡，安裝遠端控制軟件，展開暴力攻擊，並進行其他惡意活動，包括網絡偵察、停用防毒及反惡意軟件等，最終透過勒索軟件將載有會員個人資料的檔案加密，涉及8台伺服器、1台數據儲存器及18台電腦，並要求南華會支付贖金，為已被加密的檔案解鎖。

南華會在外洩事件發生後已通知所有受影響的會員，並採取一系列的改善措施以提升系統安全，包括限制南華會網內服務連接至互聯網、為管理員帳戶啟用多重認證功能等。

經考慮外洩事件的情況及調查所獲得的資料，鍾麗玲認為南華會的6項缺失是導致外洩事件發生的主因，包括相關伺服器被意外地曝露於互聯網，導致南華會的電腦系統遭受網絡攻擊的風險大幅增加，最終黑客透過相關伺服器作為踏板，入侵南華會網絡並進行勒索軟件攻擊；沒有為管理員帳戶啟用多重認證功能、欠缺資訊保安政策及指引等（見表）。

私隱專員認為，假如南華會在事發前已採取適當及足夠的技術性保安措施，是次資料外洩事故是相當有機會可以避免的。因此，公署已指示南華會採取措施以糾正違規事項，包括需聘請獨立的資訊保安專家，為載有個人資料的系統每年做最少一次的風險評估及保安審計，並需向私隱專員提供證明文件。