|
私隐专员钟丽玲(左)及首席个人资料主任郭正熙(右)发表南华会资料外泄事故的调查结果。图源:大公报 |
中评社北京10月23日电/据大公报报导,南华会三月发生会员资料外泄事故,个人资料私隐专员公署完成调查,裁定南华会违反私隐条例的规定,已要求纠正。个人资料私隐专员钟丽玲表示,学校及非牟利机构的资料外泄事故通报数字有上升趋势,今年首三季已录得51宗个案,占全部通报约三分之一,提醒任何持有个人资料的机构,应投放足够资源,提升资料保安措施。
私隐公署调查发现,黑客早在2022年1月、即事发前两年,已在南华会其中一台与互联网相连的伺服器内安装恶意程式,随后透过远端存取,对南华会的电脑系统展开暴力攻击,例如一日内尝试登入逾四万次,最终导致南华会共八台伺服器、一台数据储存器,及十八台电脑受攻击,伺服器遭勒索软件攻击和加密,事件导致南华会逾七万名会员的个人资料,包括身份证号码等外泄。
私隐公署认为,南华会在事件中有六项缺失,包括将相关的伺服器意外地披露在互联网中,又欠缺有效的侦测措施、没有为管理员账户启用多重认证,无定期评估风险及保安等。
黑客潜伏近两年
私隐专员钟丽玲指出,调查显示南华会对保障所持有的会员个人资料意识薄弱,情况令人非常失望。今次事件令人关注,黑客竟然潜伏接近两年,先安装恶意程式,等待机会发动攻击,钟丽玲表示,有关“潜伏”手法并非新发现,其他通报个案也时有发生,但两年潜伏期属于相对较长时间。 |