南華體育會(南華會)年初有會員資料外洩,個人資料私隱專員公署完成有關調查,發現南華會有6項缺失,加上保障個人資料意識薄弱,導致潛伏兩年的黑客成功展開暴力攻擊。公署裁定南華會違反《個人資料私隱條例》規定,已向其送達執行通知要求糾正。
南華會的伺服器年初遭黑客以勒索軟件攻擊和加密,使逾7.2萬名會員資料外洩,包括姓名、身份證和護照號碼、出生日期等。私隱署調查發現,黑客早於2022年,已入侵南華會一台與互聯網連接的伺服器並安裝惡意程式,潛伏兩年後在今年3月入侵南華會網絡及安裝遠端控制軟件,再藉遠端存取暴力攻擊南華會電腦系統及進行其他惡意活動。
事發前未察遭黑客裝程式
黑客最終透過勒索軟件,加密載有會員個人資料的檔案,以及勒索南華會要求繳付贖金解鎖有關檔案,過程有8台伺服器、一台數據儲存器及18台電腦受攻擊。私隱署認為,南華會在外洩事故有6項缺失,包括相關伺服器意外地暴露於互聯網、資訊系統欠缺有效偵測措施、沒有為管理員帳戶啟用多重認證功能、南華會缺乏資訊保安政策和指引、沒有定期進行風險評估和保安審計,以及欠缺離線數據備份方案。
私隱專員鍾麗玲指出,南華會作為歷史悠久的體育團體,擁有大量會員個人資料,但對保障所持有會員的個人資料意識薄弱。她又說,事發前南華會的資料保安措施可說是非常基本,導致讓黑客安裝程式也不知道。
鍾麗玲對南華會事前未曾採取有效的資訊系統保安措施感到非常失望,又稱若有足夠偵測措施監察伺服器,有機會阻止事件發生。