南華會外泄7萬會員資料 私隱署揭偵測失效 黑客潛伏伺服器兩年
南華體育會的電腦伺服器今年3月遭黑客入侵,私隱專員公署完成調查後今日(22日)公布結果,確認有72,315名南華會會員的個人資料遭外洩,包括香港身份證號碼和地址等。
公署調查揭示,黑客早於事發兩年前潛伏於南華會伺服器,但南華會的保安系統未能成功偵測;黑客其後攻擊入侵時,曾作出逾4萬次錯誤登入嘗試,但系統亦未有阻止。公署裁定南華會沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障,違反了相關條例,已指示他們採取7項措施以糾正違規事項。
公署指,早在2022年1月,黑客已在南華會一台與互聯網連接的伺服器安裝了惡意程式,延至今年3月,黑客透過該惡意程式入侵南華會的網絡,安裝遠端控制軟件,隨即透過「遠端存取」,對南華會電腦系統展開暴力攻擊及其他惡意活動,最終透過一款屬俄羅斯黑客組織Trigona變種的勒索軟件,將載有會員個人資料的檔案加密。黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。
事件導致72,315名會員的個人資料遭外洩,涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、出生日期、地址、電郵地址、電話號碼及緊急聯絡人的姓名及電話號碼。
黑客逾4萬次嘗試登入失敗 南華會保安系統未阻止
鍾麗玲認為,南華會有六項缺失,導致外洩事件發生,包括資料系統欠缺有效的偵測措施。鍾麗玲指,南華會伺服器早在2022年1月已遭黑客入侵,但當時南華會的偵測措施未能識別相關的惡意活動。而在今年3月15至16日期間,黑客利用暴力攻擊合共向南華會伺服器的管理員帳户作超過43,400次的登入嘗試,但南華會當時未有啟用「密碼嘗試失敗」的鎖定功能,導致黑客能不斷攻擊。
鍾麗玲裁定,南華會在外洩事件發生前未有採取所有切實可行的步驟,以確保涉事的個人資料受保障,違反了《私隱條例》保障資料第4(1)原則中有關個人資料保安的規定。公署已指示他們採取7項措施以糾正違規事項,包括需聘請獨立的資訊保安專家,為載有個人資料的系統每年做最少一次的風險評估及保安審計,並需向私隱專員提供證明文件。
南華會外泄資料 私隱署揭6宗罪:
1.伺服器意外地曝露於互聯網,導致電腦系統遭受網絡攻擊風險大幅增加,最終黑客透過相關伺服器作為踏板,入侵並進行勒索軟件攻擊;
2.資訊系統欠缺有效偵測措施,致未能識別黑客早於2022年1月的惡意活動,讓黑客隨後於2024年3月透過潛伏在相關伺服器內的惡意程式入侵其網絡、遙距控制受入侵的電腦、設立具有管理員權限的帳戶、停用了安裝在相關伺服器內的防毒及反惡意軟件的功能;
3.沒有為管理員帳戶啟用多重認證功能,導致黑客無須經過其他身分核實程序便可進入相關伺服器的操作系統;
4.欠缺資訊保安政策及指引,因而未能提供全面及具體的資訊系統保安檢視規定及程序供員工依循;
5.沒有定期進行風險評估及保安審計,以檢視保安措施的成效;
6.欠缺離線數據備份方案,導致會員備份資料在外洩事件中同時被黑客加密,增加數據復原難度。