【資料外洩】銀行學會因黑客攻擊外洩11萬個人資料　私隱專員公署指學會違反私隱條例

香港銀行學會（學會）2021年實施遙距在家工作後遭黑客攻擊，導致逾13,000名會員及約10萬名非會員的個人資料外洩。私隱專員公署已就事件完成調查，指出學會沒未有採取所有切實可行的步驟，確保涉事的個人資料受保障，因而違反了 《私隱條例》，私隱專員已向學會送達執行通知，指示學會糾正以及防止有關違規情況再發生。

私隱專員公署已完成對學會一宗資料外洩事故的調查，並於今日（9日）發表調查報告。公署指出，學會在2018年中安裝及啟用了一台防火牆，一年後防火牆生產商在其網站發出保安建議，表示留意到有黑客披露其作業系統的漏洞，呼籲用家立即停用SSL VPN功能，直至更新作業系統及重設所有帳戶密碼，同時建議啟用多重認證。

在2021年1月疫情期間，學會推行在家工作安排，並啟用該防火牆的SSL VPN功能，讓部份有需要的員工在家工作期間可以遙距登入其系統，惟事前未曾修補該防火牆相關漏洞。

結果在2021年底，學會名下6台載有個人資料的伺服器遭勒索軟件攻擊及惡意加密，一名黑客威脅學會將該伺服器內的檔案上載至互聯網，並要求學會支付贖金，為已被加密的檔案解鎖。事件導致逾13,000名會員及約10萬名非會員的個人資料外洩。

根據調查所獲得的證據，私隱專員鍾麗玲認為學會在資料保安風險意識及個人資料保安措施方面，存在三項不足，包括資料保安風險管理欠佳、資訊系統管理有欠妥善、及未適時啟用多重認證功能。

私隱專員認為學會欠缺有效的資料保安風險管理機制，在保養關鍵的網絡設備上，對服務提供者採取寬鬆態度，導致載有個人資料的資訊系統的保安措施，無法有效應對網絡安全風險和威脅。私隱專員經調查後認為，學會沒有採取所有切實可行的步驟，以確保涉事的個人資料受保障，因而違反了 《私隱條例》，私隱專員已向學會送達執行通知，指示學會糾正以及防止有關違規情況再發生。

HKETAPP健康台更多都市疾病影片：https://bit.ly/3cNFwr7

hketApp已全面升級，TOPick為大家推出一系列親子、健康、娛樂、港聞及休閒生活資訊及Video。立即下載：https://bit.ly/34FTtW9

記者：陳梓蔚