【大纪元2024年10月24日讯】(大纪元记者张瑛瑜香港综合报导)南华会的电脑服务器今年3月遭黑客入侵,影响72,315名会员,涉姓名、香港身份证号码、相片、地址、电话号码等个人资料。私隐专员公署完成调查上述事故,私隐专员钟丽玲认为,南华会对保障所持有的会员个人资料意识薄弱,对其未能采取有效的资讯系统保安措施,感到非常失望,并向南华会送达执行通知,防止类似情况再发生。
私隐专员公署(22日)发表上述事故的调查结果。调查发现,黑客早于2022年1月,在南华会一台与互联网连接的服务器内,安装恶意程式,但没有证据显示黑客当时有进一步的恶意活动。
到今年3月,黑客透过潜伏在相关服务器内的恶意程式,入侵南华会网络并安装远端控制软件,随后透过远端存取,攻击南华会的电脑系统,并进行其他恶意活动,包括网络侦察、防御规避、停用防毒及反恶意软件、安装凭证窃取工具及横向移动,最终透过勒索软件,将载有会员个人资料的档案加密。有关的勒索软件属Trigona的变种。
调查指,黑客于3月15至16日,合共向相关服务器的另一管理员账户,作出超过4.34万次的登入尝试,当中在4小时内更录得超过2万次的登入尝试。由于南华会当时未有启用密码尝试失败的锁定功能,导致黑客能不断进行暴力攻击。
相片、地址、紧急联络人资料等外泄
外泄事件导致南华会共8台服务器、一台数据储存器及18部电脑,遭受勒索软件攻击及加密。黑客曾要求南华会支付赎金,为已被加密的档案解锁。
受外泄事件影响的南华会会员数目为72,315名,所涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期、地址、电邮地址、电话号码及紧急联络人的姓名及电话号码。
南华会在外泄事件发生后,已通知所有受影响的会员,并采取一系列的改善措施以提升系统安全,包括限制南华会网内服务连接至互联网、为管理员账户启用多重认证功能、制订密码使用指引、定期扫描网络,以识别保安漏洞及全面执行资料离线备份等。
南华会多项缺失 事故原可避免
钟丽玲认为,外泄事件发生的主因,是南华会缺失。她指,相关服务器被意外地曝露于互联网;资讯系统欠缺有效的侦测措施,未能识别黑客早于2022年1月的恶意活动;没有为管理员账户启用多重认证功能;欠缺资讯保安政策及指引,亦没有制订书面密码政策,如列明密码复杂度、启用密码尝试失败的锁定功能及更改密码期限等措施,以保障账户安全;没有定期进行风险评估及保安审计;及缺离线数据备份方案,增加了数据复原的难度。
钟丽玲认为,南华会对保障所持有的会员个人资料意识薄弱。作为一个历史悠久的体育团体及持有大量个人资料的机构,她对南华会在外泄事件发生前,未能采取有效的资讯系统保安措施,保障会员的个人资料安全,感到非常失望。
钟表示,假如南华会在事发前已采取适当及足够的机构性及技术性的保安措施,是次资料外泄事故是相当有机会可以避免的。因此,她裁定南华会没有采取所有切实可行的步骤,以确保涉事的个人资料受保障,违反《个人资料(私隐)条例》的保障资料第 4(1)原则有关个人资料保安的规定。
钟已向南华会送达执行通知,指示其采取措施以纠正违规事项,防止类似违规情况再次发生。
去年学校及非牟利机构资料外泄事故 按年多近倍半
公署留意到,近年涉及学校及非牟利机构的资料外泄事故呈明显的上升趋势。
2023年,公署接获的157宗资料外泄事故通报当中,学校及非牟利机构的个案共61宗(占整体个案约39%),比2022年的25宗(占整体个案约24%)上升接近一倍半(140%)。2024年首三季,公署共接获51宗来自学校及非牟利机构的资料外泄事故通报,占整体个案总数约33%,与上年同期占比相若。
钟丽玲认为,学校及非牟利机构不能掉以轻心,应投放足够资源以提升资料保安措施,从而减低个人资料系统遭受网络攻击的风险。
私隐专员公署2022年至2024年(截至9月)接获涉及学校及非牟利机构的资料外泄事故通报的统计数字如下:
| 年份 |
学校及非牟利机构的资料外泄事故通报宗数(百分比) |
资料外泄事故通报总数 |
|---|---|---|
| 2022年 | 25(约24%) | 105 |
| 2023年 | 61(约39%) | 157 |
| 2014年(截至9月) | 51(约33%) |
另一方面,公署即日起推出“数据安全”套餐,参加“数据安全”套餐的机构,可免费进行“数据安全快测”,评估其数据安全措施是否足够,并在完成“快测”后,享有5个免费名额参加由公署举办的研习班及讲座。@
责任编辑:陈真
