泄大量资料 黑客早潜伏南华会难辞其咎

南华体育会（南华会）电脑伺服器3月时遭黑客入侵，逾7.2万名资料外泄，包括姓名、香港身份证号码、护照号码、相片、出生日期及地址等，个人资料私隐专员公署已完成有关调查。私隐专员锺丽玲认为南华会对保障所持有的会员个人资料意识薄弱，裁定南华会违反了《个人资料（私隐）条例》的相关规定，并已向南华会送达执行通知，指示其采取措施以纠正违规事项，以及防止类似情况再发生。
私隐专员指保障个资意识薄弱

公署调查发现，黑客早于2022年1月已在南华会一台与互联网连接的伺服器内安装了恶意程式，直至今年3月才透过潜伏已久的恶意程式入侵南华会网络，安装远端控制软件，展开暴力攻击，并进行其他恶意活动，包括网络侦察、停用防毒及反恶意软件等，最终透过勒索软件将载有会员个人资料的档案加密，涉及8台伺服器、1台数据储存器及18台电脑，并要求南华会支付赎金，为已被加密的档案解锁。

南华会在外泄事件发生后已通知所有受影响的会员，并采取一系列的改善措施以提升系统安全，包括限制南华会网内服务连接至互联网、为管理员帐户启用多重认证功能等。

经考虑外泄事件的情况及调查所获得的资料，锺丽玲认为南华会的6项缺失是导致外泄事件发生的主因，包括相关伺服器被意外地曝露于互联网，导致南华会的电脑系统遭受网络攻击的风险大幅增加，最终黑客透过相关伺服器作为踏板，入侵南华会网络并进行勒索软件攻击；没有为管理员帐户启用多重认证功能、欠缺资讯保安政策及指引等（见表）。

私隐专员认为，假如南华会在事发前已采取适当及足够的技术性保安措施，是次资料外泄事故是相当有机会可以避免的。因此，公署已指示南华会采取措施以纠正违规事项，包括需聘请独立的资讯保安专家，为载有个人资料的系统每年做最少一次的风险评估及保安审计，并需向私隐专员提供证明文件。