3月18日��,個(gè)人資料私隱專員公署(私隱專員公署)收到南華體育會(huì)的資料外洩事故通報(bào)�����,涉及約7萬(wàn)名受影響人士�����。私隱專員公署已完成對(duì)事故的調(diào)查�����,調(diào)查報(bào)告指�,南華會(huì)對(duì)保障所持有的會(huì)員個(gè)人資料意識(shí)薄弱�����,裁定南華會(huì)違反《個(gè)人資料私隱條例》�����,已向南華會(huì)送達(dá)執(zhí)行通知����,要求糾正。
據(jù)公布���,受外洩事件影響的南華會(huì)會(huì)員數(shù)目為72315人�,所涉及的個(gè)人資料包括姓名、香港身份證號(hào)碼����、護(hù)照號(hào)碼等。私隱專員鍾麗玲在調(diào)查報(bào)告指���,南華會(huì)對(duì)保障所持有的會(huì)員個(gè)人資料意識(shí)薄弱��,對(duì)於南華會(huì)事前未能採(cǎi)取有效資訊系統(tǒng)保安措施���,感到非常失望,裁定南華會(huì)違反《個(gè)人資料私隱條例》�,已向南華會(huì)送達(dá)執(zhí)行通知,要求糾正����。
調(diào)查報(bào)告指出,黑客早於2022年1月已在南華會(huì)其中一臺(tái)與互聯(lián)網(wǎng)連接的伺服器內(nèi)安裝惡意程式���,到今年3月�����,黑客透過(guò)潛伏在相關(guān)伺服器內(nèi)的惡意程式����,入侵南華會(huì)網(wǎng)絡(luò),並安裝遠(yuǎn)端控制軟件����,隨後透過(guò)遠(yuǎn)端存取對(duì)南華會(huì)的電腦系統(tǒng)展開(kāi)暴力攻擊���,並進(jìn)行其他惡意活動(dòng)�����,最終透過(guò)勒索軟件將載有會(huì)員個(gè)人資料的檔案加密��。有關(guān)勒索軟件屬 Trigoma的變種����,外洩事件導(dǎo)致南華會(huì)共8臺(tái)伺服器�、1臺(tái)數(shù)據(jù)儲(chǔ)存器及18臺(tái)電腦遭受勒索軟件攻擊及加密。黑客曾要求南華會(huì)支付贖金��,為已被加密的檔案解鎖�����。
報(bào)告續(xù)指,南華會(huì)的伺服器被意外暴露在互聯(lián)網(wǎng)�����,成為黑客入侵的跳板����。南華會(huì)資訊系統(tǒng)亦欠缺偵測(cè)措施,未有啟用密碼輸入失敗後的鎖定功能���,令黑客可以在4小時(shí)內(nèi)嘗試登入2萬(wàn)次���。南華會(huì)亦無(wú)為管理員賬戶啟用多重認(rèn)證功能,欠缺保安政策及指引等���。
私隱專員公署已向南華會(huì)發(fā)出執(zhí)行通知�,要求每年至少審視一次個(gè)人資料系統(tǒng)連結(jié)互聯(lián)網(wǎng)的必要性��,定期檢視及更新偵測(cè)及警示工具�����,聘請(qǐng)獨(dú)立資訊保安專家每年進(jìn)行風(fēng)險(xiǎn)評(píng)估及保安審計(jì)。南華會(huì)須在2個(gè)月內(nèi)提交改善措施的證明文件��。
私隱專員公署表示����,外洩的個(gè)人資料或已被轉(zhuǎn)賣(mài)多次,提醒受影響人士要提高警惕����,留意個(gè)人銀行戶口有無(wú)異常交易���,並應(yīng)更改登入密碼�����,啟用雙重認(rèn)證功能等����。公署又呼籲�,受黑客入侵的機(jī)構(gòu)不應(yīng)提供贖金,交贖金不等於能取回資料�����,只會(huì)助長(zhǎng)非法行為�。
