黑客潛伏兩年再入侵　欠多重認證及離線備份　私隱公署查南華會泄資料揭多項缺失 (13:25)

南華體育會發生資料外泄事故，逾7.2萬名會員受影響，所涉個人資料包括姓名、身分證及護照號碼、相片、地址、電話號碼等。私隱專員公署今（22日）發表調查結果，認為南華會在保障所持有會員的個人資料意識薄弱，資訊系統欠缺有效的偵測措施並犯下多項缺失。公署認為，假如南華會在事發前已採取適當及足夠的機構性及技術性的保安措施，相當有機會避免是次資料外泄事故，私隱專員鍾麗玲裁定南華會違反《個人資料(私隱)條例》，已送達執行通知。

調查發現，黑客早於2022年1月已在南華會一台與互聯網連接的伺服器內安裝惡意程式，至2024年3月入侵南華會網絡及安裝遠端控制軟件，對電腦系統展開暴力攻擊及展開其他惡意活動，最終透過勒索軟件將載有會員個人資料的檔案加密。事件涉及共8台伺服器、1台數據儲存器及18台電腦。黑客曾要求南華會支付贖金，為已被加密的檔案解鎖。鍾麗玲指，黑客首次入侵後相隔一段時間再攻擊的做法時有發生，目的是待收集電腦系統的資訊及其他帳戶後才發動攻擊。

鍾麗玲指，南華會在保障會員的個人資料的方法上犯下多項缺失，包括資訊系統欠缺有效的偵測措施，以致南華會未能識別黑客早於2022年1月的惡意活動、南華會的相關伺服器意外地曝露於互聯網、沒有為管理員帳戶啟用多重認證功能、欠缺提供資訊保安政策及指引、無定期作風險評估及保安審計，以及欠缺離線數據備份方案。

公署對南華會作為一個歷史悠久的體育團體及持有大量個人資料，卻未有在事前採取有效資訊系統保安措施而感到非常失望，並要求南華會制定私隱安全指引、聘請獨立資訊保安專家，為載有個人資料的系統進行每年至少一次的風險評估及保安審計，以及定期為有關系統離線備份等，並在執行通知兩個月起計向公署提交文件，證明已實施有關措施。

被問及涉事個人資料有否流出及其去向，鍾麗玲表示被入侵個人資料的用途並非公署的調查範圍，並提醒機構，如個人資料被黑客取得，「個人資料就等於去了互聯網的大海」，對當事人去尋回及刪除個人資料「幾乎不可能」，亦有可能被多次轉售給其他黑客，提醒當事人提高警惕，並更改銀行密碼及停用戶口等。鍾麗玲另指，南華會沒有向黑客支付贖金，並提醒機構如遭黑客勒索「千祈唔好俾贖金」，「試想想黑客是為賺錢，會否仲保留副本喺佢度？」認為支付贖金可能助長黑客行為。

涉及學校及非牟利機構的外洩事故按年增倍半　　

公署又指，留意到近年涉及學校及非牟利機構的外洩事故呈明顯上升。2023年接獲157宗外洩事故通報中，學校及非牟利機構個案共61宗，佔整體約39%，比2022年的25宗（佔整體個案約24%）上升近一倍半（140%）。至於2024年首三季，公署指共接獲 51 宗來自學校及非牟利機構的資料外洩事故通報，佔整體個案總數約33%，與上年同期接獲此類個案的百分比相若。鍾麗鈴預期有關個案在年內會持續上升，提醒學校及非牟利機構不可掉以輕心。