(獨媒報導)南華體育會今年3月發生洩露逾72,000名會員事故,私隱專員公署今日公布調查結果,指黑客早於2022年已經透過一台意外暴露互聯網的伺服器,入侵系統並安裝惡意程式,惟未有動作,至今年始發動攻擊。惡意程式被植入兩年間,南華會無做資訊保安審計,未有偵測該程式。另外南華會無啟用登入鎖定功能,黑客曾在4小時內暴力攻擊逾43,000次企圖撞破密碼,期間南華會全不知情。私隱專員鍾麗玲批評南華會保障會員私隱的意識薄弱,她感到非常失望,又裁定南華會違反《私隱條例》,發出通知必須糾正。
南華會發聲明回應指,已知悉調查報告,會方已在事後採取一系列跟進措施,持續加強網絡安全水平,確保同類事件不再發生。
私隱專員公署表示今年3月18日接到南華會通知發生資料外洩事故,公署進行調查後發現黑客其實早於2022年1月,已經透過一台意外暴露於互聯網的伺服器入侵,並安裝惡意軟件,但一直沒有進一步攻擊。至今年3月,黑客發動攻擊,透過遠端存取進行攻擊和惡意加密,並停用防毒和反惡意軟件。
私隱專員鍾麗玲(私隱專員公署相片)
會員、緊急聯絡人資料外洩
南華會在3月17日發現系統被勒索軟件攻擊和加密,翌日向私隱專員公署通報事件。黑客成功入侵8台伺服器、1台數據儲存器及18部電腦,並要求南華會支付贖金。洩露的個人資料包括會員的香港身份證號碼、護照號碼、地址、電郵地址、電話號碼、出生日期及相片等,亦涉及緊急聯絡人資料。
公署曾經向南華會詢問伺服器暴露的原因,但對方未能提供解釋,成為黑客的「踏板」入侵網絡。私隱專員鍾麗玲指出另一項較嚴重的缺失,是南華會被入侵兩年期間從未發現系統已被入侵。另外黑客在3月15至16日期間,利用密碼生成程式,希望撞入資訊系統,一共嘗試進入逾43,000次,最高峰曾經在4小時內錄得逾2萬次,但南華會未有啟用鎖定功能,未能在多次登入失敗後鎖定禁止再登入。
指歷史悠久 擁大量會員資料
鍾麗玲批評南華會作為歷史悠久的體育團體,擁有大量會員的個人資料,事件反映南華會保障私隱意識薄弱,她感到非常失望,又指若南華會有足夠偵測工具,或有做資訊保安審計,有相當機會在初期便察覺不尋常活動,認為南華會未有採取適當保障個人資料,違反《私隱條例》。
黑客為何潛伏兩年才攻擊?鍾麗玲表示手法普遍,但今次個案潛伏的時間算較長,部分個案黑客會「揀一個時候」才發動大範圍入侵,亦有黑客待取得其他帳戶憑證,才「揀時間落手」。此外,亦有黑客取得資料後循不法途徑售賣,其他黑客取得資料後再進一步攻擊。她亦補充,事件中南華會在勒索事件未有支付贖金,她亦呼籲機構勿助長黑客的非法行為。
學校NGO高危 呼籲投放足夠資源
另外公署又提醒,黑客對持有大量個人資料的機構感興趣,例如學校和非政府機構,提醒它們做好把關,切勿掉以輕心,應投放足夠資源減低風險。近年涉及學校和非政府機構的資料外洩事故數字有上升趨勢,去年整體157宗事故當中,有四成來自學校和非政府機構,數字較前年同期上升1倍半。公署今日起推出支援措施,機構可以在網上填寫問卷「快測」,公署會向機構提供5個免費培訓名額。
私隱專員公署相片