南華會7.2萬會員資料被外洩,私隱公署指涉6缺失促糾正。(林俊源攝)
私隱專員公署完成對南華體育會資料外洩事故的調查。私隱專員鍾麗玲在調查報告指,南華會對保障會員個人資料的意識薄弱,裁定南華會違反《個人資料私隱條例》。
Trigoma變種勒索軟件
調查結果指,早於2022年1月南華會其中1台與互聯網連接的伺服器內已被安裝惡意程式,直到今年3月,黑客透過該惡意程式入侵南華會網絡,安裝遠端控制軟件並停用有關防毒及反惡意軟件。後對電腦系統展開暴力攻擊,對管理員帳號進行43,400次登入嘗試,最終將載有會員個人資料的檔案加密,涉及72,315名會員的個人資料,包括姓名、香港身份證號碼、護照號碼等。
有關的勒索軟件屬Trigoma的變種,外洩事件導致南華會共8台伺服器、1台數據儲存器及18台電腦遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。
已送達執行通知
報告指南華會在事件中有6項缺失,包括伺服器被意外地曝露於互聯網,資訊系統欠缺有效的偵測措施,沒有為管理員帳戶啟用多重認證功能,欠缺資訊保安政策及指引,沒有定期進行風險評估及保安審計,亦欠缺離線數據備份方案。對此公署已向南華會送達執行通知,要求糾正,例如定期離線備份、聘請獨立專家等。
立即更新/下載AM730手機APP 體驗升級功能
