黑客入侵｜桂冠論壇及芭蕾舞團資料外泄　私隱公署指兩者涉軟件過時等缺失

香港桂冠論壇委員會及香港芭蕾舞團有限公司均於去年9月遭黑客入侵，分別導致8,122人和逾3.78萬人的個人資料外洩。個人資料私隱專員公署今日（8日）發表事故調查報告，揭桂冠論壇涉及4大缺失，包括防火牆韌體過時並存在多項嚴重漏洞；而芭蕾舞團同樣涉及4大缺失，如伺服器運作軟件過時並存在多項嚴重的遠端程式碼執行漏洞。私隱專員鍾麗玲指，兩間機構違反《私隱條例》保障資料原則規定，已送達執行通知，指示其採取措施以糾正違規事項。

桂冠論壇洩8,122人資料 私隱署揭4缺失

桂冠論壇於去年年9月27日向私隱署通報資料外洩事故。據私隱署調查，桂冠論壇的網絡最初於去年9月26日遭黑客入侵。黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證，並利用該帳戶通過防火牆的虛擬私有網絡區域，成功進入伺服器。黑客隨後於網絡內進行橫向移動及放置勒索軟件「Elbie」，導致儲存在桂冠論壇的1組伺服器及7個端點裝置的檔案被加密；存放於另一組伺服器的備份數據亦同時遭黑客毁壞。外洩事件中受影響人數為8,122名，包括約7,200名電子通訊訂閱戶的姓名及電郵地址，及約920名青年科學家申請人、邵逸夫獎得獎者等的個人資料。

個人資料私隱專員鍾麗玲直言，入侵事故源於桂冠論壇4大缺失，包括資訊系統管理有欠妥善，如防火牆韌體已過時並存在多項嚴重漏洞、防毒軟件的病毒資料庫自2019年起不曾更新、沒有為遠端存取資料啟用多重認證功能、不曾為資訊系統進行保安審計及漏洞評估等。對服務供應商採取的資料保安措施亦缺乏監察，未有確保服務供應商履行要求，適時更新軟件及安裝修補程式。她又批評桂冠論壇欠缺資訊保安政策及指引，且缺乏適當的數據備份方案，導致備份數據在外洩事件中遭黑客毁壞，無法進行復原。

芭蕾舞團估算37,840人受影響 涉身分證、銀行戶口號碼等

至於芭蕾舞團於去年10月16日向公署通報資料外泄事故，私隱署調查發現，芭蕾舞團的網絡最初於去年9月15日遭黑客入侵。黑客利用芭蕾舞團一組已過時伺服器運作軟件的漏洞，成功進入舞團網絡，並透過各種惡意工具及程式，包括轉儲憑證工具及遠端存取工具，在取得資訊科技管理員及用戶的帳戶密碼後，進而獲取芭蕾舞團網絡的相關資料及與網絡連接的電腦詳情，且在網絡內橫向移動。其後，黑客於去年9月17日利用一個系統管理員帳戶，放置勒索軟件「LockBit」，導致儲存在芭蕾舞團資訊系統內的檔案被加密，並竊取系統內的資料及檔案。

芭蕾舞團無法確實受影響檔案內的資料，但估算受外洩事件影響人數或達37,840名，包括芭蕾舞團僱員、求職者等。涉及的個人資料包括姓名、香港身份證號碼、銀行戶口號碼等。

個人資料私隱專員鍾麗玲稱，入侵事故涉芭蕾舞團4大缺失，包括伺服器運作軟件過時，並存在多項嚴重的遠端程式碼執行漏洞，而芭蕾舞團沒有任何關於保安修補或更新伺服器的政策或程序，形容是「明顯缺失。」另外，相關伺服器在服務供應商進行系統遷移過程中，被不必要地曝露於互聯網，大幅增加遭受網絡攻擊的風險；服務供應商採取的資料保安措也施缺乏監察；又沒有對資訊系統進行保安評估及保安審計，導致未能適時識別伺服器漏洞，增加系統受攻擊風險。

基於上述原因，鍾麗玲認為桂冠論壇及芭蕾舞團沒有採取所有切實可行的步驟，以確保涉事個人資料受保障，因而違反《私隱條例》保障資料第4(1)原則有關個人資料保安的規定，已送達執行通知指示糾正。

她又說，明白中小企及非牟利組織投放於網絡安全上的資源或許有限，惟提醒隨着機構的資訊系統數碼化，全球網絡安全威脅與日俱增，機構不宜掉以輕心，建議加強網絡保安及數據安全。

下載HKET App，追蹤TOPick WhatsApp頻道，睇全方位資訊：

【中下學試題免費下載】  【名校專區升學攻略】

【食物安全超市大搜查】  【職場智慧求生術】