黑客勒索消委會|私隱署裁消委會違例 5大缺失致450人資料外泄

撰文:呂穎姍
出版:更新:

消費者委員會電腦系統去年遭黑客以勒索軟件惡意入侵,個人資料私隱專員公署今日(2日)發表調查報告,指事件中有450人的資料外泄,涉及有黑客組織取得消委會一個有管理員權限的帳戶憑證,之後以虛擬私有網絡進入消委會網絡。

公署指,消委會有五大不足,包括無啟用多重認證功能及欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料等,認為其無採取切實步驟確保個人資料不被泄漏,違反《私隱條例》第4原則規定(即採取一切切實可行的步驟,保障個人資料不會未經授權或意外地被查閲、處理、刪除、喪失或使用。)私隱專員鍾麗玲指已向消委會送達執行通知,指示消委會糾正及防止類似違規情況再發生。

個人資料私隱專員公署完成有關消委會資料外泄事故的調查,專員鍾麗玲(左)5月2日表示,事故是由於消委會缺失所致,包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網路安全威脅的軟件。(呂穎姍攝)

私隱專員公署調查發現該黑客組織取得消委會一個具管理員權限的帳戶憑證,隨後透過虛擬私有網絡(VPN)進入消委會的網絡,並對消委會的伺服器及端點装置進行勒索軟件攻擊,導致消委會的93個系統遭到惡意加密,11個伺服器及端點裝置被黑客入侵。

涉450名人個人資料 包括289投訴人及100多名現職及離職員工

網絡安全專家亦確實,事故中有四個載有個人資料的檔案遭受未獲准許的查閱,涉及超過450名人士的個人資料,包括289名投訴人、26名資訊科技服務供應商的員工、162名消委會的現職及已離職員工。

▼2023年9月22日 消委會交代電腦系統被黑客入侵及勒索事件▼

+1

鍾麗玲:消委會欠缺足夠保安措施禁止或防止測試伺服器内存個人資料

根據調查所獲證據,鍾麗玲認為消委會有五大缺失致事故,包括沒有為遠端存取資料啟用多重認證功能,導致黑客能利用獲取的帳戶憑證進人消委會的網絡、進行勒索軟件攻擊,以及查閱消委會所持有的個人資料;消委會亦沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件,導致該網絡安全軟件在偵測網絡安全威脅後未能向消委會發送警報電郵。

消委會亦欠缺足夠保安措施禁止或防止於測試伺服器内儲存個人資料,導致消委會持有的289 名投訴人的個人資料因人為錯誤或疏忽而被儲存於沒有配置網絡安全軟件的一個測試伺服器內,隨後遭受黑客攻擊。

沒有資訊科技保安檢視規定及程序供員工依循

此外,消委會在資訊保安政策亦有欠全面及具體,未有提供全面及具體的網絡保安框架或資訊科技保安檢視規定及程序供員工依循。

鍾麗玲亦指,消委會在保障個人資料私隱及網絡安全意識不足,因除了因人為錯誤或疏忽而儲存個人資料於測試伺服器外,調查亦發現一名前資訊科技部員工沒有於系統設定實施消委會訂定的複雜密碼政策,令有關政策在事發時未有被貫徹實施。

調查多次提及消委會資訊科技部門缺失,私鍾麗玲表示,消委會有解釋部份保安措施未能落實是因為部門人手不足,而當中未能設多重認證則因需在員工軟件到加另一軟件而受到阻力。她又提到,黑客取得的具管理員權限的帳戶憑證為資訊科技部門,惟該員工亦不何外洩的原因。她呼籲,為保證數據安全,不論大小企業「都唔好慳錢」,投放適當資源在資訊系統,特別是客戶的個人資料。

公署共接獲20宗查詢及8宗投訴

公署在此次事件中接獲20宗查詢及8宗投訴,鍾麗玲表示,希望今次事件可以有警示作用,特別是此些缺失都為無需用很多資源已可以彌補。至於相關資料是否已外洩在「禁網」,她則指,在網絡世界「今日無唔代表聽日無,聽日無唔代表後日無」,又強烈建議機構遇上被黑客勒索,千萬不要給贖金,因為即使比了錢亦不代表個人資料可以取還。

個人資料私隱專員公署列消委會五大缺失:
1/沒有為遠端存取資料啟用多重認證功能
2/沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件
3/欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料
4/資訊保安政策有欠全面及具體
5/保障個人資料私隱及網絡安全意識不足

私隱公署發7項執行指令要求消委會兩個月內執行

鍾麗玲認為,消委會違反了 《私隱條例》第4原則中有關個人資料保安的規定,確保其持有個人資料受保障而不受未獲准許或意外泄漏,被查閱、處理及刪除等。私隱專員公署向消委會發出7項執行指令,要求兩個月內、即6月29日須提交證據證明已執行,否則屬違法,公署會跟進。