樂施毅行者系統遭網攻 查泄資料否 內部電郵提或涉姓名身分證 10年前捐款者收短訊
【明報專訊】香港樂施會本月10日發現有電腦系統遭網絡攻擊,受影響系統包括樂施毅行者系統。該會於20日在網頁公布事件,未提及是否涉及個人資料外泄,稱已聘請獨立網絡安全專家檢查及修復受影響系統,以盡快調查是否涉及個人資料的披露及其覆蓋範圍,並先後通報個人資料私隱專員公署及香港電腦保安事故協調中心,以及向警方報案。
事隔10日公布
樂施會在網頁及回覆本報查詢時,均沒提及事件有否涉及個人資料外泄及受影響人數等,但本報收到樂施會近日的內部電郵提到,事件可能涉及的個人資料,包括該會可能持有的姓名、身分證號碼、住址、電郵地址、手機號碼,或者捐款資料,該電郵亦建議先採取資料安全保護措施。
約10年前曾捐款予樂施會的林小姐向本報稱,昨收到短訊得悉事件,質疑樂施會為何仍保留其個人資料,亦不滿該會事發後半個月才通知,認為事件影響日後向慈善機構捐款意欲。
收短訊者質疑為何保留資料10年
本報向樂施會查詢個人資料的保留時限,該會沒有回應;至於受影響系統是否已停用,該會稱毅行者系統已回復正常運作。翻查資料,2022及2023年毅行者分別有約1600人及3400人參加。
私隱署:須確保保存資料時間不超目的所需
私隱公署回覆本報稱,7月13日收到相關機構資料外泄事故通報,暫接獲一宗查詢,未收到投訴;警方確認7月19日接獲報案,案件列作「不誠實使用電腦」,交由東區警區刑事調查隊第二隊跟進調查,暫未有人被捕。
專家:非牟利機構資訊安全資源少
資訊安全研究員賴灼東表示,非牟利機構投入在資訊安全的資源較少,未必能持續監測,而受網絡攻擊原因很多,例如入侵網站及遠端桌面、盜取內部VPN密碼等。他說,樂施會作為非牟利機構,有別法定團體或官方機構須在發現後7至14日公布,認為這次「慢齱v但尚可接受。
議員倡賦權私隱署就泄資執法
私隱公署回覆,資料外泄事故詳情仍有待相關機構確定。至於個人資料被保留10年有否問題,公署稱資料使用者須採取所有可行步驟,確保保存時間不超過原來蒐集資料目的實際所需。
立法會選委界議員吳傑莊預料同類事件將繼續發生,相信要社會有共識、重視資訊安全,認同需要修例或有人需要負責才會減少。他建議賦權私隱公署就資料外泄事件執法,而非單純譴責及警告,並可參考外國增設罰則,例如可民事或集體訴訟、設不同銀碼罰款等。
■明報報料熱線﹕inews@mingpao.com / 9181 4676