樂施會洩逾55萬人資料涉身份證信用卡私隱公署揭多項缺失裁違私隱條例

私隱專員公署公布樂施會資料外洩的調查結果。其中逾330GB的數據遭竊取，55萬人受影響，洩露的資料包括身份證或信用卡號碼等。公署調查後發現，樂施會存在多項缺失，包括防火牆嚴重漏洞等。公署裁定樂施會違反《私隱條例》，已送達執行通知，糾正違規事項。

樂施會去年7月13日向公署通報資料外洩事故。公署昨公布調查結果，發現逾330GB的數據從樂施會的資訊系統中被竊，涉55萬人，包括52萬名捐款者、8.7萬名活動參加者和近8,000名義工等；所涉資料包括身份證和護照資料、信用卡號碼及銀行帳戶號碼。

黑客借防火牆漏洞攻擊系統

公署調查發現，黑客暴力攻擊和利用樂施會防火牆的嚴重漏洞，執行遠端程式碼及指令，取得保密插口層虛擬私有網絡主控台的存取權限，繼而控制一個資訊科技測試人員帳戶。黑客從外部網絡透過SSL VPN連接到樂施會的資訊系統後，識別出網絡中存有漏洞的伺服器，並取得當中活動目錄的管理員權限，再入侵伺服器、工作電腦及手提電腦。

黑客於去年7月10日在樂施會的資訊系統放置勒索軟件「DarkHack」，導致儲存在系統內的檔案及資料被加密及竊取。外洩事件導致樂施會共37台伺服器及24台電腦被入侵。

公署認為樂施會有多項缺失，包括過時的防火牆存在嚴重漏洞、未啟用多重認證功能；指自2023年6月以來，樂施會未曾對涉事防火牆進行任何修補或更新。涉事防火牆已於2023年6月及去年2月發布兩項嚴重漏洞的修補程式，但在外洩事件發生時則仍未安裝最新的修補程式。