共逾4萬人資料外泄 港芭、桂冠論壇違私隱例

【明報專訊】香港芭蕾舞團（港芭）及香港桂冠論壇委員會去年9月分別遭黑客入侵，私隱公署昨日發表調查結果，提到兩者分別有逾3.7萬人及8000人資料外泄，裁定兩間機構無採取切實可行步驟，確保個人資料受保障，違反《私隱條例》規定，其中桂冠論壇的防毒軟件病毒資料庫2019年起無更新。私隱專員已向兩間機構送達執行通知，指示採取措施以糾正違規事項，防止類似事件再發生。

港芭軟件過時 無做保安評估

調查顯示，港芭一組伺服器運作軟件已過時，黑客去年9月15日利用漏洞入侵網絡，透過惡意工具及程式，取得資訊科技管理員的帳戶密碼，並獲取港芭網絡相關資料，兩日後放置勒索軟件「LockBit」，導致港芭資訊系統的檔案被加密，並竊取系統內的資料及檔案。公署稱，港芭估計或有37,840人受影響，包括僱員、求職者、門票訂購者等，涉及姓名、身分證及護照號碼、地址、銀行戶口或信用卡號碼等資料。

公署認為，港芭伺服器存在多項嚴重的遠端程式碼執行漏洞，亦無任何保安修補或更新伺服器的政策或程序，而伺服器在服務供應商做系統遷移時，被不必要地暴露於互聯網。公署又認為港芭缺乏監察服務供應商，並無對資訊系統做保安評估及審計，令受攻擊風險增加。

桂冠防毒資料庫近5年無更新

桂冠論壇的網絡則於去年9月26日遭入侵，黑客獲得一個具系統管理員權限的帳戶憑證後，進入伺服器並放置勒索軟件「Elbie」，導致一個伺服器及7個端點裝置內的檔案被加密，備份數據亦遭毁壞。8122人受影響，包括約7200名電子通訊訂閱戶及920名邵逸夫獎得主、本地科學家及講者等，涉及姓名、地址、電話號碼、護照或身分證號碼、銀行戶口或信用卡等資料。

調查顯示，桂冠論壇的資訊系統管理欠妥善，防毒軟件病毒資料庫自2019年起不曾更新，無為遠端存取資料啟用多重認證功能核實用戶身分，亦不曾為資訊系統做保安審計及漏洞評估等，對服務供應商的資料保安措施亦缺乏監察，未有確保其適時更新軟件及安裝修補程式，亦欠缺適當數據備份方案、資訊保安政策及指引。

公署稱，港芭事後已重新部署網路基礎設施以符合安全設計原則，更新網絡安全政策，及委聘專家提供建議；桂冠論壇則重新訂定防火牆規則，做全面帳戶審計及制定嚴格密碼政策等。