(獨媒報導)香港劍指成為「國際創科中心」,去年11月更舉辦首屆「桂冠論壇」,有特首李家超致辭全力支持。論壇有多名卓越科學家和邵逸夫獎得獎者出席,不過他們資料慘遭外洩。私隱專員公署公布桂冠論壇去年9月26日已遭黑客入侵,外洩8,122名人士資料,包括邵逸夫獎得獎者及其隨行人員、本地科學家和講者等約920人的個人資料,包括姓名、地址、電話、國籍、護照資料、銀行戶口和信用卡資料。
公署指桂冠論壇在外洩事件發生後才發現其防火牆使用已過時的韌體並存在多項嚴重漏洞,防毒軟件的病毒資料庫自2019年起不曾更新,亦沒有制訂密碼政策,甚至不曾為資訊系統進行保安審計及漏洞評估。公署裁定違反《個人資料私隱條例》有關資料保安的規定,已指示採取措施糾正違規事項,以防止類似違規再發生。
參與論壇的邵逸夫獎得獎者與行政長官李家超、桂冠論壇委員會委員合照。
主題「匯聚頂尖思維」
根據「桂冠論壇」當時的資料,活動在香港科學園開幕,於11月13至18日舉行論壇,主題是「匯聚頂尖思維 啟發科學成就(Meeting of Inspirational Minds)」。參加活動的人士來自世界各地在天文學、生命科學與醫學、數學科學三大領域中取得卓越成就的20多位邵逸夫獎得獎者、傑出科學家,與全球來自近30個不同國家及地區近200名青年科學家。
私隱專員公署今日公布,桂冠論壇於去年9月27日向私隱專員公署通報資料外洩事故,表示電腦系統及檔案伺服器遭受勒索軟件攻擊。攻擊最初發生在9月26日,黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證,並利用該帳戶通過防火牆的虛擬私有網絡區域成功進入桂冠的伺服器。
黑客隨後於桂冠論壇的網絡放置勒索軟件「Elbie」,導致一組伺服器及7個端點裝置的檔案被惡意加;存放於另一組伺服器的備份數據亦遭黑客毁壞。
香港桂冠論壇發佈的新聞稿稱,論壇吸引了超過2,400名參加者,包括近200名來自世界各地的青年科學家。
外洩資料包括學歷背景、關聯機構
公署指,受桂冠論壇外洩事件影響的人士數目有8,122名,包括約7,200名電通訊訂閱戶的姓名及電郵地址受影響。另外約920名受影響人士,包括青年科學家申請人、邵逸夫獎得獎者及其隨行人員、論壇大使/活動助理申請人、本地科學家及講者、評審員、活動助理,以及桂冠論壇的現職僱員、前僱員及委員。
外洩的個人資料包括姓名、地址、電郵地址、電話號碼、護照資料、完整及/或部分護照/香港身份證號碼、銀行戶口/信用卡資料、出生日期、國籍/出生地、履歷表/成績單、關聯機構及/或學歷背景。
政務司副司長卓永興(左四)當時亦有現身論壇活動。
公署指不曾進行資安審計
公署指經調查後發生多重缺失,包括防火牆的韌體已過時並存在多項嚴重漏洞、防毒軟件的病毒資料庫自2019年起不曾更新、沒有為遠端存取資料啟用多重認證功能核實用戶身分、沒有制定密碼政策、沒有採用網絡分段或設置內部防火牆規則,亦不曾為資訊系統進行保安審計及漏洞評估等。
公署亦表示,桂冠論壇對服務供應商採取的資料保安措施缺乏監察,即使已簽訂的合同要求適時更新軟件及安裝修補程式,但桂冠論壇未有確保履行責任,導致桂冠論壇在外洩事件發生後,才發現其防火牆使用已過時的韌體並存在多項嚴重漏洞,而防毒軟件的病毒資料庫亦已過時。