【消委會資料外洩】私隱公署調查指逾450人受影響　涉欠足夠保安措施等5大缺失

消委會去年9月遭黑客ALPHV入侵，少於1.5GB個人資料被盜及外洩，逾450人受影響。個人資料私隱專員公署今日（2日）發表事故調查報告，揭消委會涉及5大缺失，包括沒有為遠端存取資料啟用多重認證功能、欠缺足夠保安措施等。私隱專員在周二（4月30日）已向消委會送達執行通知指示糾正，消委會須由執行通知日期起計兩個月內，即6月29日或之前完成。

據私隱專員公署調查所得，黑客ALPHV在去年9月4日獲取並利用消委會一個具管理員權限的帳戶憑證，隨後透過虛擬私有網絡（VPN）進入消委會網絡 ，並在同月19至20日對其伺服器及端點裝置，包括手提電腦等，進行勒索軟件攻擊。消委會93個系統遭惡意加密，11個伺服器及端點裝置被入侵。

公署又引述調查指，4個載有個人資料的檔案遭未獲准許的查閱，逾450人的個人資料受影響，包括289名投訴人、138名現職及24名已離職消委會員工，及26名資訊科技服務供應商員工等，涉及資料包括姓名、電話號碼等。

個人資料私隱專員鍾麗玲昨直言入侵事故源於消委會5大缺失，包括沒有為遠端存取資料啟用多重認證功能，她指消委會疫下實施在家工作安排，允許員工遠端連接消委會網絡，惟因員工反對安裝額外軟件及資訊科技部門人手不足，未有啟用多重認證功能；至前年取消在家工作，仍繼續允許員工在沒有多重認證的情況下遠端連接消委會網絡。她認為若消委會有啟用多重認證，便可避免黑客入侵攻擊，形容是「導致事件發生的重要原因。」

她又批評消委會沒有妥善設定網絡安全軟件，包括未有啟用警報功能，結果軟件在偵測到網絡安全威脅時，未能發出警報電郵；且欠足夠保安措施禁止或防止於測試伺服器內儲存個人資料，導致289名投訴人的個人資料，因人為錯誤或疏忽，自去年6月起被儲存於沒有配置網絡安全軟件的測試伺服器內，隨後遭黑客攻擊。

她續稱，消委會資訊保安政策有欠全面及具體，只列出資訊科技部門日常工作的程序，及訂明一般性原則，未有提供全面及具體的網絡保安框架，或資訊科技保安檢視規定及程序供員工依循。保障個人資料私隱及網絡安全意識亦不足，除了因人為錯誤或疏忽而儲存個人資料於測試伺服器外，一名前資訊科技部員工沒有於系統設定實施消委會訂定的複雜密碼政策，令有關政策在事發時未被貫徹實施。

鍾麗玲認為消委會沒有採取所有切實可行的步驟以確保涉事個人資料受保障，因而違反《個人資料（私隱）條例》保障資料第4（1）原則有關個人資料保安的規定，已送達執行通知指示糾正。

公署至今就事件收到20宗查詢及8宗投訴。

HKET App已全面升級，TOPick為大家推出一系列親子、健康、娛樂、港聞及休閒生活資訊及影片。立即下載︰https://onelink.to/f92q4m

追蹤TOPick Whatsapp頻道睇最新資訊︰http://tinyurl.com/3dtnw8f5

記者：梁薾心