南华会逾7万会员资料三月遭外泄 私隐署指会方有缺失要求纠正

南华会三月发生会员资料外泄事故，个人资料私隐专员公署经调查后，裁定南华会违反私隐条例的规定，已要求纠正。

南华会逾7万名会员的个人资料，包括身份证号码等外泄，源于伺服器遭勒索软件攻击和加密。

私隐专员公署调查后发现，早在2022年1月、即事发前两年，黑客已在南华会其中一台，与互联网相连的伺服器内安装恶意程式，随后透过远端存取，对南华会的电脑系统展开暴力攻击，例如一日内尝试登入逾四万次，最终导致南华会共8台伺服器、1台数据储存器，及18台电脑受攻击。

公署认为南华会在事件中有六项缺失，包括将相关的伺服器意外地披露在互联网中，又欠缺有效的侦测措施、无为管理员帐户启用多重认证，亦无定期评估风险及保安等。

个人资料私隐专员钟丽玲称：「总括来说，调查显示南华会对保障所持有的会员个人资料意识薄弱，而南华会作为一个历史悠久的体育团体，及持有大量会员个人资料的机构，我对南华会在外泄事件发生前，未有采取有效的资讯系统保安措施，去保障会员的个人资料，感到非常失望。」

今次黑客由安装恶意程式，至发动攻击潜伏近两年，是否新手法？

钟丽玲表示：「初时入侵时在电脑系统内安装一些恶意程式，再收集电脑系统内的资讯，或再拿其他帐户凭证，累积资料后才选择一个时候下手。这个不是新发现，在其他个案也时有发生，只是中间期间未必是两年这麽久。」

公署认为，如果南华会有足够监察相关伺服器，是有机会阻止事件发生，已向南华会送达执行通知，要求纠正。