私隱專員公署今(23日)公布樂施會去年7月資料外泄事故調查結果,當中330GB資料被駭客盜竊,涉及55萬人資料,包括員工、捐款者及義工等,資料涉身份證號碼、銀行卡等。調查發現樂施會未有按時更新防火牆軟件,致駭客利用防火牆嚴重漏洞進入系統,樂施會也未啟用多重認證,並過長儲存個人資料,其中50名顧問及35名前管治委員會成員身份證被外泄,公署裁定樂施會違反《私隱條例》,已向該會送達執行通知。
另外,私隱公署去年全年接3,431宗投訴,按年微跌4%,但資料外泄通報則按年增加3成,接到203宗,當中67宗來自公營機構。公署年內展開118宗刑事調查,並轉介40宗個案予警方跟進,年內共拘捕20人。
私隱專員鍾麗玲總結去年情況,稱去內接3431宗投訴,按年跌4%,起底投訴由525跌至355宗,跌32%。(盧翊銘攝) 駭客盜取330 GB樂施會資料 絕大部份資料涉捐款者
樂施會去年7月13日向私隱專員公署通報資料外泄事故,公署今公布調查結果,確認有超過330 GB的資料從樂施會的資訊系統中被竊取,涉及55萬人,包括52.1萬捐款者、8.8萬活動參加者及7,928名義工等,外泄資料包括身份證號碼、信用卡及銀行卡號碼等。
調查發現,駭客以暴力攻擊,及利用樂施會防火牆嚴重漏洞進入系統,並用遠端程式生成密碼撞系統,執行遠端程式碼及指令,取得私有網路存取許可權,並控制一名IT測試人員帳戶,之後從外部網路透過SSL VPN連線到樂旅會資充系統,識別出存漏洞的伺服器,以取得活動目錄管理員許可權,橫向入侵其伺服器、工作電腦等。
駭客以勒索軟件將資料加密及竊取
駭客在7月10日在樂施會的資訊系統放置勒索軟件「DarkHack」,導致儲存在系統內的檔案及資料被加密及竊取,涉及37台伺服器及24台電腦被入侵。樂施會已通知受影響人並實施各項機構性及技術性的改善措施以加強整體系統安全,從而更好地保障個人資料私隱。
私隱專員鍾麗玲裁定樂施會違反《私隱條例》。(盧翊銘攝) 防火牆無更新修補程式 錯過兩次嚴重漏洞修補
公署指出樂施會在件中有多項過失,包括用過時防火牆有嚴重漏洞、未啟用多重認證及過長儲存個人資料等,調整顯示樂施會防火牆自2023年6月起再無更新修補程式,但該防火牆早在23年6月及24年2月發布嚴重漏洞修補程式。
調查亦顯示其過長儲存個人資料,除捐款者、員工、義工外,50個顧問身份證、35份前管治委員會成員身份證亦被外泄,公署裁定樂施會未採切實可行工作確保個人資料受保障及不外泄,違反《私隱條例》,已送達執行通知。
私隱專員公署今(23日)發表2024年工作報告。(盧翊銘攝) 起底投訴跌32%至355宗 套取個人資料作詐騙投訴增46%
私隱專員鍾麗玲又總結去年情況,稱去內接3,431宗投訴,按年跌4%,起底投訴由525跌至355宗,跌32%;網上發現的起底個案也由231宗跌至87宗,大跌62%,投訴個案涉及界別多為銀行金融及物管業。另接獲1,158宗涉及套取個人資料作詐騙之用,按年增加46%。
她說,去年共接獲203宗資泄通報,按年增30%,其中67宗涉公營機構、136宗為私營機構,學校及非牟利機構佔67宗,佔整體33%,較2022年升約1倍。她指整體通報事件,有61宗屬駭客入侵,佔30%,常見勒索軟件為APT INC及Lockbit2.0及3.0。
鍾續稱,公署年內處理442宗起底個案,按年減42%,大多涉金錢糾紛、政見糾紛只佔2.8%,公署就118宗展刑事調查,40宗個案轉交警方繼續跟進,全年共拘捕20人。