香港即時新聞網
【消委會資料外洩】私隱公署調查指逾450人受影響 涉欠足夠保安措施等5大缺失
來源 : 經濟日報
更新 : 2024-05-02 12:13
消委會去年9月遭黑客ALPHV入侵,少於1.5GB個人資料被盜及外洩,逾450人受影響。個人資料私隱專員公署今日(2日)發表事故調查報告,揭消委會涉及5大缺失,包括沒有為遠端存取資料啟用多重認證功能、欠缺足夠保安措施等。私隱專員在周二(4月30日)已向消委會送達執行通知指示糾正,消委會須由執行通知日期起計兩個月內,即6月29日或之前完成。據私隱專員公署調查所得,黑客ALPHV在去年9月4日獲取並利用消委會一個具管理員權限的帳戶憑證,隨後透過虛擬私有網絡(VPN)進入消委會網絡 ,並在同月19至20日對其伺服器及端點裝置,包括手提電腦等,進行勒索軟件攻擊。消委會93個系統遭惡意加密,11個伺服器及端點裝置被入侵。公署又引述調查指,4個載有個人資料的檔案遭未獲准許的查閱,逾450人的個人資料受影響,包括289名投訴人、138名現職及24名已離職消委會員工,及26名資訊科技服務供應商員工等,涉及資料包括姓名、電話號碼等。個人資料私隱專員鍾麗玲直言事故因消委會5大缺失導致,包括沒有為遠端存取資料啟用多重認證功能。她指消委會疫下實施在家工作安排,允許員工透過VPN遠端連接消委會網絡,但因員工反對安裝額外多重認證軟件,加上資訊科技部門人手不足,無啟用多重認證功能;至前年5月取消在家工作安排,仍允許員工在無多重認證的情況下,遠端連接消委會的網絡。她相信若消委會有啟用便可阻止黑客透過管理員進入網絡,並避免隨後遭勒索軟件攻擊等,形容是「導致事件發生的重要原因。」她又批評消委會沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件,且欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料,導致289名投訴人的個人資料,因人為錯誤或疏忽,自去年6月起,被儲存於沒有配置網絡安全軟件的測試伺服器內,隨後遭黑客攻擊。鍾麗玲續稱,消委會資訊保安政策有欠全面及具體,只列出資訊科技部門日常工作的程序,及訂明一般性原則,未有提供全面及具體的網絡保安框架,或資訊科技保安檢視規定及程序供員工依循。保障個人資料私隱及網絡安全意識亦不足,除了因人為錯誤或疏忽而儲存個人資料於測試伺服器外,一名前資訊科技部員工沒有於系統設定實施消委會訂定的複雜密碼政策,令有關政策在事發時未被貫徹實施。她認為消委會沒有採取所有切實可行的步驟以確保涉事個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反《個人資料(私隱)條例》保障資料第4(1)原則有關個人資料保安的規定。私隱專員已向消委會送達執行通知指示糾正,消委會須由執行通知日期起計兩個月內完成。公署至今就事件收到20宗查詢及8宗投訴。 HKET App已全面升級,TOPick為大家推出一系列親子、健康、娛樂、港聞及休閒生活資訊及影片。立即下載︰https://onelink.to/f92q4m追蹤TOPick Whatsapp頻道睇最新資訊︰http://tinyurl.com/3dtnw8f5
已複製