(獨媒報導)私署專員公署調查香港芭蕾舞團去年10月一宗資料外洩事故,估計涉及37,840人,包括僱員、求職者、門票訂購者等,洩漏資料包括身份證資料、銀行號碼及信用卡號碼。公署調查後認為,芭蕾舞團有多項嚴重的「遠端程式碼執行漏洞」,舞團沒有任何關於保安修補及更新伺服商的政策及程序,有明顯缺失。而服務供應商在進行系統遷移過程,不必要地將伺服器曝露於互聯網,大幅增加遭受網絡攻擊的風險。
軟件過時 利用漏洞輕鬆進入網絡
公署表示芭蕾舞團的網絡最初於去年9月15日遭黑客入侵,由於一組伺服器的運作軟件已屬過時,黑客遂利用該伺服器的漏洞,成功進入芭蕾舞團的網絡。黑客隨後透過各種惡意工具及程式,包括轉儲憑證工具及遠端存取工具,在取得資訊科技管理員及用戶的帳戶密碼後,進而獲取了與芭蕾舞團的網絡的相關資料及與網絡連接的電腦的詳情,並在其網絡內進行橫向移動。
在9月17日黑客利用一個系統管理員帳戶,放置勒索軟件「LockBit」,導致儲存在芭蕾舞團資訊系統內的檔案被加密,黑客並竊取了系統內的資料及檔案。
無法確實受影響數目
芭蕾舞團無法確實受影響檔案內的資料,只能估算受外洩事件影響的人士數目可能為37,840名,包括芭蕾舞團的僱員、求職者、門票訂購者、客席藝術家、活動參加者、捐款者、贊助者及供應商。
涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、出生日期、地址、電郵地址、電話號碼、健康資料、銀行戶口號碼及/或信用卡號碼(不包含安全碼)、僱傭資料及學歷資料。
無任何保安修補政策
公署調查後認為, 芭蕾舞團的伺服器存在多項嚴重的遠端程式碼執行漏洞,亦無任何關於保安修補或更新其伺服器的政策或程序,而相關伺服器在服務供應商進行系統遷移過程中,被不必要地曝露於互聯網,大幅增加遭受網絡攻擊的風險。公署亦認為舞團缺乏監察服務供應商,並無對資訊系統進行保安評估及保安審計,增加資訊系統受攻擊的風險。
私隱專員鍾麗玲同樣裁定芭蕾舞團違反《私隱條例》對確保個人資料受保障的規定,已向芭蕾舞團送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。