南华会三月发生会员资料外泄事故 私隐署指会方涉欠资讯保安政策等六项缺失

南华会三月发生会员资料外泄事故。个人资料私隐专员公署经调查后，裁定南华会违反私隐条例的规定，已要求纠正。

南华会三月公布，伺服器遭勒索软件攻击和加密，导致逾7万名会员资料外泄，包括姓名、身份证号码、出生日期、地址、电话号码等。

私隐专员公署调查后发现，早在2022年1月、即事发前两年，黑客已在南华会其中一台与互联网连连的伺服器内，安装了恶意程式。随后透过远端存取，对南华会的电脑系统展开暴力攻击，最终导致南华会共8台伺服器、1台数据储存器及18台电脑受攻击。

公署认为，南华会在事件中有六项缺失，包括将相关的伺服器意外地披露在互联网中，而资讯系统欠缺有效的侦测措施；又无为管理员帐户启用多重认证功能。另外，会方欠缺资讯保安政策和指引，没定期进行风险评估和保安审计，同时欠缺离线的数据备份方案。

个人资料私隐专员钟丽玲表示：「总括来说，调查显示南华会对保障所持有的会员个人资料意识薄弱。而南华会作为一个历史悠久的体育团体，及持有大量会员个人资料的机构，我对南华会在外泄事件发生前，未有采取有效的资讯系统保安措施，去保障会员的个人资料，感到非常失望。」

公署认为，如果南华会有足够侦测措施监察相关伺服器，有机会阻止事件发生。公署已向南华会送达执行通知，要求纠正。