南华会7.2万会员资料外泄 私隐公署:会方多项缺失为意外主因 裁定违反私隐条例
2024-10-22 12:39 
南华体育会(南华会)电脑伺服器3月时遭黑客入侵、资料外泄,个人资料私隐专员公署已完成有关调查。公署指,受外泄事件影响的南华会会员数目为超过7.2万名,所涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期及地址等。私隐专员锺丽玲认为南华会对保障所持有的会员个人资料意识薄弱,裁定南华会违反了《个人资料(私隐)条例》的相关规定,并已向南华会送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。
相关新闻:
南华会资料外泄|私隐公署:约7万人受影响 警列「勒索」暂未有人被捕
南华会电脑伺服器遭黑客入侵 已报警并启动应急计划 暂未有会员资料外泄
南华会于今年3月18日向私隐专员公署通报资料外泄事故,表示其伺服器遭勒索软件攻击及恶意加密。公署调查发现,黑客早于2022年1月已在南华会一台与互联网连接的伺服器内安装了恶意程式,惟没有证据显示黑客当时有进一步的恶意活动。今年3月,黑客透过潜伏在相关伺服器内的恶意程式入侵南华会网络并安装远端控制软件,随后透过远端存取对南华会的电脑系统展开暴力攻击,并进行其他恶意活动,包括网络侦察、停用防毒及反恶意软件等,最终透过勒索软件将载有会员个人资料的档案加密。
有关的勒索软件属Trigona的变种,外泄事件导致南华会共8台伺服器、1台数据储存器及18台电脑遭受勒索软件攻击及加密。黑客曾要求南华会支付赎金,为已被加密的档案解锁。南华会在外泄事件发生后已通知所有受影响的会员,并采取一系列的改善措施以提升系统安全,包括限制南华会网内服务连接至互联网、为管理员帐户启用多重认证功能等。
经考虑外泄事件的情况及调查所获得的资料,锺丽玲认为南华会的多项缺失是导致外泄事件发生的主因,包括相关伺服器被意外地曝露于互联网,导致南华会的电脑系统遭受网络攻击的风险大幅增加,最终黑客透过相关伺服器作为踏板,入侵南华会网络并进行勒索软件攻击;资讯系统欠缺有效的侦测措施,让黑客于3月15至16日期间合共向相关伺服器作出超过4.34万次的登入尝试,当中在4小时内更录得超过 2万次的登入尝试;没有为管理员帐户启用多重认证功能,及欠缺资讯保安政策及指引等。
公署:如南华会事发前有足够措施可避免事故
私隐专员认为,假如南华会在事发前已采取适当及足够的技术性保安措施,是次资料外泄事故是相当有机会可以避免的。因此,私隐专员裁定南华会违反了《个人资料(私隐)条例》的保障资料第4(1)原则有关个人资料保安的规定。
学校及非牟利机构资料外泄事故宗数上升一倍半
另外,公署留意到近年涉及学校及非牟利机构的资料外泄事故呈明显的上升趋势。去年,公署接获的157宗资料外泄事故通报当中,学校及非牟利机构的个案共61宗(占整体个案约39%),比2022年的25宗(占整体个案约24%)上升接近一倍半。今年年首3季,公署共接获51宗来自学校及非牟利机构的资料外泄事故通报,占整体个案总数约33%,与上年同期接获此类个案的百分比相若。因此,公署认为学校及非牟利机构不能掉以轻心,应投放足够资源以提升资料保安措施,从而减低个人资料系统遭受网络攻击的风险。
记者:蔡思宇
最新回应