樂施會泄資或涉55萬人 裁違私隱例 長期保存資料無銷 公署促兩月內糾正
【明報專訊】樂施會去年7月遭勒索軟件攻擊致資料外泄。個人資料私隱專員公署調查發現,樂施會逾330GB數據被竊,或影響約55萬人。報告稱樂施會保存部分個人資料超過實際所需時間,包括4000項7年前活動參加者資料。專員鍾麗玲認為,該會事前未採取足夠及有效措施保障資訊系統安全,亦無制訂適時銷珔W過保存期限資料,裁定違反《私隱條例》,前日已送達執行通知,要求兩個月內採取措施糾正違規事項。
樂施會:將訂資料保存期限
樂施會昨回覆本報查詢時稱,就公署要求訂立個人資料保存政策的做法表示完全理解,認同以往做法存不足,正按執行通知建立相關政策,訂明資料保存期限銷珗L期資料程序及加強內部監控等。該會稱高度重視事件,事後實施改善措施加強整體系統安全,包括升級至最新版本防火牆及定期進行安全威脅偵測等。
公署調查發現,黑客以「暴力攻擊」及利用防火牆嚴重漏洞,執行遠端程式碼及指令,控制一個資訊科技測試人員帳戶,繼而在樂施會系統放置勒索軟件「DarkHack」,導致系統內檔案及資料被加密及竊取。該會共37台伺服器及24台工作電腦或手提電腦被入侵,包括捐款者資料庫及毅行者網站資料庫等。
估計受影響包括逾52萬名捐款者、逾8.8萬名活動參加者及近8000名義工等,該會稱除去重複數字後,估計涉及人數約55萬,涉及資料包括姓名、身分證號碼或副本、地址及信用卡號碼等。
無更新防火牆 偵測異常無行動
報告列出7項導致資料外泄主因,包括樂施會自前年6月起未有更新防火牆,令兩項嚴重漏洞未有修補,亦無啟用多重認證功能。公署透露該資訊系統曾偵測到異常登入嘗試,但該會無採取有效行動。公署亦認為,樂施會對資訊系統保安評估不足,相關政策有欠具體。
研修例要求設保存期限政策
私隱署首席個人資料主任(合規及查詢)郭正熙稱,樂施會保存個人資料太久,包括600項於2021年至去年活動落選者資料、50項顧問個人資料,而顧問已完成服務逾7年。被問到樂施會有否訂立資料保存期限,私隱專員鍾麗玲稱,調查發現該會不時檢查需否保存現有資料,惟無就資料保存期限制定書面政策,情G不理想。當局正研究修訂私隱條例,方案包括要求資料使用者制定個人資料保留時限政策,以及設強制通報資料外泄機制等。
綠色建築議會公告
逾6000從業員資料 暗網圖售
另外,香港綠色建築議會昨發出公告,稱有綠色建築從業員個人資料未經授權於暗網意圖出售,涉及6666人姓名、公司及手提電話等資料,初步調查懷疑外判服務供應商系統遭黑客入侵,該會已即時關閉平台及通知受影響者,報案及通報私隱公署。
