南華會三月發生會員資料外洩事故 私隱署指會方涉欠資訊保安政策等六項缺失

南華會三月發生會員資料外洩事故。個人資料私隱專員公署經調查後，裁定南華會違反私隱條例的規定，已要求糾正。

南華會三月公布，伺服器遭勒索軟件攻擊和加密，導致逾7萬名會員資料外洩，包括姓名、身份證號碼、出生日期、地址、電話號碼等。

私隱專員公署調查後發現，早在2022年1月、即事發前兩年，黑客已在南華會其中一台與互聯網連連的伺服器內，安裝了惡意程式。隨後透過遠端存取，對南華會的電腦系統展開暴力攻擊，最終導致南華會共8台伺服器、1台數據儲存器及18台電腦受攻擊。

公署認為，南華會在事件中有六項缺失，包括將相關的伺服器意外地披露在互聯網中，而資訊系統欠缺有效的偵測措施；又無為管理員帳戶啟用多重認證功能。另外，會方欠缺資訊保安政策和指引，沒定期進行風險評估和保安審計，同時欠缺離線的數據備份方案。

個人資料私隱專員鍾麗玲表示：「總括來說，調查顯示南華會對保障所持有的會員個人資料意識薄弱。而南華會作為一個歷史悠久的體育團體，及持有大量會員個人資料的機構，我對南華會在外洩事件發生前，未有採取有效的資訊系統保安措施，去保障會員的個人資料，感到非常失望。」

公署認為，如果南華會有足夠偵測措施監察相關伺服器，有機會阻止事件發生。公署已向南華會送達執行通知，要求糾正。