消委会遭黑客入侵逾450人资料外泄 私隐署批五项缺失促两个月内纠正

消委会去年遭黑客入侵，个人资料私隐专员公署指，有逾450人资料外泄，包括近300名投诉人，认为消委会欠缺足够保安措施，出现五项缺失，裁定违反《私隐条例》。

消委会去年九月被黑客攻击，个人资料私隐专员公署完成调查，指黑客去年9月4日取得具管理员权限的帐户，透过VPN即虚拟私有网络进入消委会网络。

约个多星期后，攻击伺服器及员工的电脑、外置资料储存装置，盗去约1.5GB的数据，涉及逾450人的资料，当中包括289名投诉人，24名离职员工等的名字、住址、手提电话号码等被盗，亦令消委会93个系统遭恶意加密。

公署调查发现，消委会疫情期间容许员工在家工作，但员工对实施多重认证存阻力，资讯科技部员工亦人手不足，未有为远端存取资料采取多重认证。至疫后仍未实施，令黑客有机可乘。

公署又批评消委会的侦测安全威胁软件有漏洞，未能拦截黑客之余，亦无发出警报电邮。

私隐专员钟丽玲称：「调查间有问消委会为何有这情况，但消委会回应指由于负责网络安全的消委会员工，及供应商员工也已离职，所以消委会未能确认有关原因。现时仍未能理解为何用户的帐户凭证被黑客取得，消委会亦解释不了。」

公署又指大量个人资料被盗，是因为储存在无网络安全软件的伺服器内。消委会就指这些资料储存在两名员工的工作电脑，包括一份投诉数据分析试算表，但不涉及信用卡、银行帐户等，形容受影响个人资料非常有限。但公署认为行为已违反《个人资料(私隐)条例》，已发出执行通知，要求两个月内纠正，否则或会刑事检控。

消委会指对公署建议深表重视，又指暂未发现个人资料被公开。