桂冠論壇及港芭蕾舞團資料外泄 私隱署裁定違私隱例已發執行通知
香港桂冠論壇及香港芭蕾舞團電腦系統去年先後被黑客入侵,泄露大量包括身份證號碼、銀行戶口等個人資料。私隱專員公署發布調查結果,指桂冠論壇事件約8,122人受影響,芭蕾舞團則多達37,840人受影響,認為兩機構均對對服務供應商採取的資料保安措施缺乏監察,又指桂冠論壇資訊系統管理有欠缺,防毒軟件病毒資料庫自2019年起無更新等;芭蕾舞團使用的伺服器運作軟件則已過時,而伺服器服務供應商進行系統遷移過程中也被不必要地曝露於互聯網等。
私隱專員鍾麗玲裁定上述兩機構均沒有採取所有切實可行的步驟以確保涉事的個人資料受保障,違反了《私隱條例》規定,已送達執行通知,指示其採取措施糾正。
私隱公署指,桂冠論壇去年9月27日通報電腦系統遭黑客攻擊導致資料外泄事故,黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證,利用該帳戶通過防火牆的虛擬私有網絡區域成功進入桂冠的伺服器。黑客隨後於該論壇網絡內進行橫向移動及放置勒索軟件「Elbie」,導致儲存在桂冠論壇的一組伺服器及七個端點裝置的檔案被加密。
公署稱,論壇存放於另一組伺服器的備份數據遭黑客毁壞,共8,122人受影響,包括約7,200名電子通訊訂閱戶的姓名及電郵地址受影響,及約 920名青年科學家申請人、邵逸夫獎得獎者及其隨行人員、論壇大使/活動助理申請人、本地科學家及講者、現職及前僱員等,其姓名、地址、電郵地址、電話號碼、護照資料、完整,或部分護照或香港身份證號碼、銀行戶口及信用卡資等被泄露。
公署調查認為桂冠論壇資訊系統管理欠妥善,包括其防火牆的韌體已過時並存在多項嚴重漏洞,防毒軟件的病毒資料庫自2019年起不曾更新;也沒有為遠端存取資料啟用多重認證功能核實用戶身分、對服務供應商採取的資料保安措施缺乏監察、欠缺資訊保安政策及指引及缺乏適當的數據備份方案。
至於香港芭蕾舞團則於去年10月16日通報遭黑客入侵,導致其資訊系統的四組實體伺服器受影響,由於當時芭蕾舞團的一組伺服器的運作軟件已屬過時,黑客遂利用該伺服器的漏洞成功進入芭蕾舞團網絡,隨後透過各種惡意工具及程式,包括轉儲憑證工具及遠端存取工具,在取得資訊科技管理員及用戶的帳戶密碼後,進而獲取了與芭蕾舞團的網絡的相關資料及與網絡連接的電腦的詳情,並在其網絡內進行橫向移動。
黑客於去年9月17日利用一個系統管理員帳戶,放置勒索軟件「LockBit」,導致儲存在芭蕾舞團資訊系統內的檔案被加密,並竊取了系統內的資料及檔案。芭蕾舞團無法確實受影響檔案內的資料,但估算受影響人士數目可能為37,840 名,包括芭蕾舞團的僱員、求職者、門票訂購者、客席藝術家及贊助者等,涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、電話號碼、健康資料、銀行戶口號碼及信用卡號碼等。
私隱專員鍾麗玲裁定上述兩機構均沒有採取所有切實可行的步驟以確保涉事的個人資料受保障,違反了《私隱條例》規定,已送達執行通知,指示其採取措施糾正。她提醒機構面對與日俱增的網絡安全威脅,不論機構大小,都不宜掉以輕心,應加強網絡保安及數據安全以抵禦惡意攻擊,從而保障所持有的個人資料。