資料外洩｜南華會逾7.2萬會員資料外洩　私隱署斥涉6大缺失已指示糾正

南華體育會今年3月遭黑客入侵，逾7.2萬人個人資料外洩。個人資料私隱專員公署今日（22日）發表事故調查報告，揭南華會涉6大缺失，包括資訊系統欠缺有效偵測措施等。私隱專員昨（21日）向南華會送達執行通知指示糾正。

據私隱專員公署調查，黑客於2022年1月在南華會一台與互聯網連接的伺服器安裝惡意程式，至今年3月透過潛伏的程式入侵該會網絡，並安裝遠端控制軟件。隨後透過遠端存取，進行暴力攻擊及其他惡意活動，包括停用防毒及反惡意軟件等，並展開Trigona變種勒索軟件攻擊，令南華會8台伺服器、1台數據儲存器及18台電腦被攻擊及加密，涉72,315人的個人資料包括姓名、身份證號碼等。

南華會資料外洩｜私隱署：入侵事故源於6大缺失

個人資料私隱專員鍾麗玲直言入侵事故源於南華會6大缺失，包括把相關伺服器意外暴露於互聯網。她指有關做法無疑是為黑客開啟入口，讓其透過相關伺服器作踏板進行入侵，形容是導致外洩事件發生的主因。

她又批評南華會的資訊系統欠缺有效偵測措施，說相關伺服器早於前年已被黑客入侵及安裝惡意程式，但該會當時未能識別相關惡意活動，令黑客成功潛伏逾兩年；在3月15至16日期間，黑客更嘗試登入相關伺服器的另一管理員帳戶逾4.3萬次，當中4小時內錄得高達逾2萬次的登入嘗試。

她形容若南華會於前年部署足夠的偵測措施或警示工具，以監察相關伺服器的不尋常活動，便有相當機會在黑客入侵初期察覺並採取適當措施，避免外洩事件發生。

另外，南華會沒有為管理員帳戶啟用多重認證功能，亦欠缺資訊保安政策及指引、離線數據備份方案，且沒有定期進行風險評估和保安審計。

南華會資料外洩｜鍾麗玲：南華會保障個人資料意識薄弱 非常失望

鍾麗玲形容南華會對保障個人資料的意識薄弱，對其作為一個歷史悠久的體育團體及持有大量個人資料的機構，但在外洩事件發生前未能採取有效資訊系統保安措施，感到非常失望。

她認為南華會沒有採取所有切實可行的步驟以確保涉事個人資料受保障，因而違反《個人資料（私隱）條例》保障資料第4（1）原則有關個人資料保安的規定，已送達執行通知指示糾正。南華會須由執行通知日期起計兩個月內完成。

公署至今就事件收到9宗查詢及2宗投訴。

最新影片推介：

🎓全新TOPSchool全港中小學校搜尋器，入HKET App即睇！

下載HKET App，追蹤TOPick WhatsApp頻道，睇全方位資訊：

【全港中小學選校資訊】 【名校專區升學攻略】

【兒童健康百科】 【職場文化智慧】 【家事百科全書】

記者：梁薾心