樂施會去年遭勒索軟件攻擊。個人資料私隱專員公署今(23日)公布調查結果,稱有超過330GB數據被竊取,可能影響約55萬人,公署調查發現樂施會未有修補防火牆漏洞或更新系統,對資訊系統的保安評估不足,保存個人資料時間過長。私隱專員鍾麗玲認為,樂施會於事發前未有採取足夠及有效措施保障資訊系統安全,亦未有制訂有效機制適時銷毁超過保存期限的個人資料,裁定樂施會違反《私隱條例》,已送達執行通知,要求採取措施以糾正違規事項。
調查發現,黑客透過「暴力攻擊」及利用防火牆嚴重漏洞,執行遠端程式碼及指令,並入侵樂施會的37台伺服器及24台工作電腦或手提電腦,當中包括檔案伺服器、捐款者資料庫、樂施會毅行者網站資料庫等。受影響的人士或包括捐款者、活動參加者、義工、現職及離職僱員等,涉及的個人資料包括姓名、香港身分證號碼或副本、地址、信用卡號碼等。
私隱公署稱,樂施會自2023年6月起未有更新防火牆,令兩項嚴重漏洞未有修補,亦未有啟用多重認證功能。公署亦發現,該資訊系統曾偵測到異常登入嘗試,但樂施會的無採取有效行動;樂施會解釋因缺乏通知相關團隊或人員機制。另外,公署亦認為樂施會對資訊系統的保安評估不足,相關政策有欠具體。
公署首席個人資料主任(合規及查詢)郭正熙指出,樂施會過長保存個人資料,當中包括4000項7年前活動參加者的資料、600項於2021年至2024年活動落選者的資料、50項顧問的個人資料,而顧問已完成其服務逾7年。
公署指出,樂施會已就外泄事件通知受影響人士,並在事件發生後實施各項措施以加強整體系統安全,包括實施外部顧問所提供的建議,亦承諾更新其資訊科技政策,以建立全面的漏洞管理計劃,包括定期漏洞掃描及滲透測試。
公署就樂施會資料外泄事件收到一宗投訴及一宗查詢。鍾麗玲說,調查期間發現樂施會不時檢查是否需要保存現有資料,惟無就資料保存期限制訂書面政策,形容情况不理想。
樂施會回應說,對事件高度重視,又說根據服務供應商的監察報告,直至目前沒證據顯示有關的個人資料因是次事件而流出。樂施會亦稱,已實施改善措施以加強整體系統安全,包括升級至最新版本的防火牆、實施多重身分認證等,亦正根據私隱公署的指示執行措施,完善資訊保安政策,並會建立個人資料保存政策,定明資料保存期限、銷毀過期資料的程序,將在兩個月內向公署提交執行報告。
相關字詞﹕編輯推介 資料外泄 個人資料私隱專員公署 樂施會