私隐专员裁定南华会资料外洩违例 送达执行通知促纠正
私隐专员公署完成对南华体育会资料外洩事故的调查。私隐专员锺丽玲在调查报告指,南华会对保障所持有的会员个人资料意识薄弱,对于南华会事前无未能採取有效资讯系统保安措施,感到非常失望,裁定南华会违反《个人资料私隐条例》,已向南华会送达执行通知,要求纠正。 调查结果指出,黑客早于2022年1月已在南华会其中 1台与互联网连接的伺服器内安装了恶意程式,到今年3月,黑客透过潜伏在相关伺服器内的恶意程式,入侵南华会网络,并安装远端控制软件 ,随后透过远端存取对南华会的电脑系统展开暴力攻击,并进行其他恶意活动 ,最终透过勒索软件将载有会员个人资料的档案加密。有关的勒索软件属 Trigoma 的变种,外洩事件导致南华会共 8台伺服器、1台数据储存器及 18台电脑遭受勒索软件攻击及加密。黑客曾要求南华会支付赎金,为已被加密的档案解锁。 受外洩事件影响的南华会会员数目为 72315人,所涉及的个人资料包括姓名、香港身份证号码、护照号码等。 锺丽玲在报告指,南华会在事件中有多项缺失,包括相关伺服器被意外地曝露于互联网,资讯系统欠缺有效的侦测措施,没有为管理员帐户启用多重认证功能,欠缺资讯保安政策及指引,以及没有定期进行风险评估及保安审计,亦欠缺离线数据备份方案。
其他人也在看