共逾4萬人資料外泄 港芭、桂冠論壇違私隱例
【明報專訊】香港芭蕾舞團(港芭)及香港桂冠論壇委員會去年9月分別遭黑客入侵,私隱公署昨日發表調查結果,提到兩者分別有逾3.7萬人及8000人資料外泄,裁定兩間機構無採取切實可行步驟,確保個人資料受保障,違反《私隱條例》規定,其中桂冠論壇的防毒軟件病毒資料庫2019年起無更新。私隱專員已向兩間機構送達執行通知,指示採取措施以糾正違規事項,防止類似事件再發生。
港芭軟件過時 無做保安評估
調查顯示,港芭一組伺服器運作軟件已過時,黑客去年9月15日利用漏洞入侵網絡,透過惡意工具及程式,取得資訊科技管理員的帳戶密碼,並獲取港芭網絡相關資料,兩日後放置勒索軟件「LockBit」,導致港芭資訊系統的檔案被加密,並竊取系統內的資料及檔案。公署稱,港芭估計或有37,840人受影響,包括僱員、求職者、門票訂購者等,涉及姓名、身分證及護照號碼、地址、銀行戶口或信用卡號碼等資料。
公署認為,港芭伺服器存在多項嚴重的遠端程式碼執行漏洞,亦無任何保安修補或更新伺服器的政策或程序,而伺服器在服務供應商做系統遷移時,被不必要地暴露於互聯網。公署又認為港芭缺乏監察服務供應商,並無對資訊系統做保安評估及審計,令受攻擊風險增加。
桂冠防毒資料庫近5年無更新
桂冠論壇的網絡則於去年9月26日遭入侵,黑客獲得一個具系統管理員權限的帳戶憑證後,進入伺服器並放置勒索軟件「Elbie」,導致一個伺服器及7個端點裝置內的檔案被加密,備份數據亦遭疰a。8122人受影響,包括約7200名電子通訊訂閱戶及920名邵逸夫獎得主、本地科學家及講者等,涉及姓名、地址、電話號碼、護照或身分證號碼、銀行戶口或信用卡等資料。
調查顯示,桂冠論壇的資訊系統管理欠妥善,防毒軟件病毒資料庫自2019年起不曾更新,無為遠端存取資料啟用多重認證功能核實用戶身分,亦不曾為資訊系統做保安審計及漏洞評估等,對服務供應商的資料保安措施亦缺乏監察,未有確保其適時更新軟件及安裝修補程式,亦欠缺適當數據備份方案、資訊保安政策及指引。
公署稱,港芭事後已重新部署網路基礎設施以符合安全設計原則,更新網絡安全政策,及委聘專家提供建議;桂冠論壇則重新訂定防火牆規則,做全面帳戶審計及制定嚴格密碼政策等。