黑客入侵|桂冠論壇及芭蕾舞團資料外泄 私隱公署指兩者涉軟件過時等缺失

社會

撰文: 梁薾心

發布時間: 2024/08/08 14:59

最後更新: 2024/08/08 18:14

分享:

分享:

個人資料私隱專員公署今日發表香港桂冠論壇委員會及香港芭蕾舞團有限公司資料外洩事故的調查結果。圖為私隱專員鍾麗玲(中)、首席個人資料主任(合規及查詢)郭正熙(左)及高級個人資料主任(合規及查詢)盧浩榮(右)。(個人資料私隱專員公署提供)

香港桂冠論壇委員會及香港芭蕾舞團有限公司均於去年9月遭黑客入侵,分別導致8,122人和逾3.78萬人的個人資料外洩。個人資料私隱專員公署今日(8日)發表事故調查報告,揭桂冠論壇涉及4大缺失,包括防火牆韌體過時並存在多項嚴重漏洞;而芭蕾舞團同樣涉及4大缺失,如伺服器運作軟件過時並存在多項嚴重的遠端程式碼執行漏洞。私隱專員鍾麗玲指,兩間機構違反《私隱條例》保障資料原則規定,已送達執行通知,指示其採取措施以糾正違規事項。

桂冠論壇洩8,122人資料 私隱署揭4缺失

桂冠論壇於去年年9月27日向私隱署通報資料外洩事故。據私隱署調查,桂冠論壇的網絡最初於去年9月26日遭黑客入侵。黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證,並利用該帳戶通過防火牆的虛擬私有網絡區域,成功進入伺服器。黑客隨後於網絡內進行橫向移動及放置勒索軟件「Elbie」,導致儲存在桂冠論壇的1組伺服器及7個端點裝置的檔案被加密;存放於另一組伺服器的備份數據亦同時遭黑客毁壞。外洩事件中受影響人數為8,122名,包括約7,200名電子通訊訂閱戶的姓名及電郵地址,及約920名青年科學家申請人、邵逸夫獎得獎者等的個人資料。

個人資料私隱專員鍾麗玲直言,入侵事故源於桂冠論壇4大缺失,包括資訊系統管理有欠妥善,如防火牆韌體已過時並存在多項嚴重漏洞、防毒軟件的病毒資料庫自2019年起不曾更新、沒有為遠端存取資料啟用多重認證功能、不曾為資訊系統進行保安審計及漏洞評估等。對服務供應商採取的資料保安措施亦缺乏監察,未有確保服務供應商履行要求,適時更新軟件及安裝修補程式。她又批評桂冠論壇欠缺資訊保安政策及指引,且缺乏適當的數據備份方案,導致備份數據在外洩事件中遭黑客毁壞,無法進行復原。

芭蕾舞團估算37,840人受影響 涉身分證、銀行戶口號碼等

至於芭蕾舞團於去年10月16日向公署通報資料外泄事故,私隱署調查發現,芭蕾舞團的網絡最初於去年9月15日遭黑客入侵。黑客利用芭蕾舞團一組已過時伺服器運作軟件的漏洞,成功進入舞團網絡,並透過各種惡意工具及程式,包括轉儲憑證工具及遠端存取工具,在取得資訊科技管理員及用戶的帳戶密碼後,進而獲取芭蕾舞團網絡的相關資料及與網絡連接的電腦詳情,且在網絡內橫向移動。其後,黑客於去年9月17日利用一個系統管理員帳戶,放置勒索軟件「LockBit」,導致儲存在芭蕾舞團資訊系統內的檔案被加密,並竊取系統內的資料及檔案。

芭蕾舞團無法確實受影響檔案內的資料,但估算受外洩事件影響人數或達37,840名,包括芭蕾舞團僱員、求職者等。涉及的個人資料包括姓名、香港身份證號碼、銀行戶口號碼等。

個人資料私隱專員鍾麗玲稱,入侵事故涉芭蕾舞團4大缺失,包括伺服器運作軟件過時,並存在多項嚴重的遠端程式碼執行漏洞,而芭蕾舞團沒有任何關於保安修補或更新伺服器的政策或程序,形容是「明顯缺失。」另外,相關伺服器在服務供應商進行系統遷移過程中,被不必要地曝露於互聯網,大幅增加遭受網絡攻擊的風險;服務供應商採取的資料保安措也施缺乏監察;又沒有對資訊系統進行保安評估及保安審計,導致未能適時識別伺服器漏洞,增加系統受攻擊風險。

基於上述原因,鍾麗玲認為桂冠論壇及芭蕾舞團沒有採取所有切實可行的步驟,以確保涉事個人資料受保障,因而違反《私隱條例》保障資料第4(1)原則有關個人資料保安的規定,已送達執行通知指示糾正。

她又說,明白中小企及非牟利組織投放於網絡安全上的資源或許有限,惟提醒隨着機構的資訊系統數碼化,全球網絡安全威脅與日俱增,機構不宜掉以輕心,建議加強網絡保安及數據安全。

下載HKET App,追蹤TOPick WhatsApp頻道,睇全方位資訊:

【中下學試題免費下載】  【名校專區升學攻略】

【食物安全超市大搜查】  【職場智慧求生術】