泄大量资料 黑客早潜伏南华会难辞其咎

2024-10-23 00:00

南华体育会电脑伺服器3月时遭黑客入侵,逾7.2万名资料外泄。
南华体育会电脑伺服器3月时遭黑客入侵,逾7.2万名资料外泄。

南华体育会(南华会)电脑伺服器3月时遭黑客入侵,逾7.2万名资料外泄,包括姓名、香港身份证号码、护照号码、相片、出生日期及地址等,个人资料私隐专员公署已完成有关调查。私隐专员锺丽玲认为南华会对保障所持有的会员个人资料意识薄弱,裁定南华会违反了《个人资料(私隐)条例》的相关规定,并已向南华会送达执行通知,指示其采取措施以纠正违规事项,以及防止类似情况再发生。
私隐专员指保障个资意识薄弱

公署调查发现,黑客早于2022年1月已在南华会一台与互联网连接的伺服器内安装了恶意程式,直至今年3月才透过潜伏已久的恶意程式入侵南华会网络,安装远端控制软件,展开暴力攻击,并进行其他恶意活动,包括网络侦察、停用防毒及反恶意软件等,最终透过勒索软件将载有会员个人资料的档案加密,涉及8台伺服器、1台数据储存器及18台电脑,并要求南华会支付赎金,为已被加密的档案解锁。

南华会在外泄事件发生后已通知所有受影响的会员,并采取一系列的改善措施以提升系统安全,包括限制南华会网内服务连接至互联网、为管理员帐户启用多重认证功能等。

经考虑外泄事件的情况及调查所获得的资料,锺丽玲认为南华会的6项缺失是导致外泄事件发生的主因,包括相关伺服器被意外地曝露于互联网,导致南华会的电脑系统遭受网络攻击的风险大幅增加,最终黑客透过相关伺服器作为踏板,入侵南华会网络并进行勒索软件攻击;没有为管理员帐户启用多重认证功能、欠缺资讯保安政策及指引等(见表)。

私隐专员认为,假如南华会在事发前已采取适当及足够的技术性保安措施,是次资料外泄事故是相当有机会可以避免的。因此,公署已指示南华会采取措施以纠正违规事项,包括需聘请独立的资讯保安专家,为载有个人资料的系统每年做最少一次的风险评估及保安审计,并需向私隐专员提供证明文件。 

關鍵字

最新回应

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad