南華會逾7萬會員資料三月遭外洩 私隱署指會方有缺失要求糾正

南華會三月發生會員資料外洩事故，個人資料私隱專員公署經調查後，裁定南華會違反私隱條例的規定，已要求糾正。

南華會逾7萬名會員的個人資料，包括身份證號碼等外洩，源於伺服器遭勒索軟件攻擊和加密。

私隱專員公署調查後發現，早在2022年1月、即事發前兩年，黑客已在南華會其中一台，與互聯網相連的伺服器內安裝惡意程式，隨後透過遠端存取，對南華會的電腦系統展開暴力攻擊，例如一日內嘗試登入逾四萬次，最終導致南華會共8台伺服器、1台數據儲存器，及18台電腦受攻擊。

公署認為南華會在事件中有六項缺失，包括將相關的伺服器意外地披露在互聯網中，又欠缺有效的偵測措施、無為管理員帳戶啟用多重認證，亦無定期評估風險及保安等。

個人資料私隱專員鍾麗玲稱：「總括來說，調查顯示南華會對保障所持有的會員個人資料意識薄弱，而南華會作為一個歷史悠久的體育團體，及持有大量會員個人資料的機構，我對南華會在外洩事件發生前，未有採取有效的資訊系統保安措施，去保障會員的個人資料，感到非常失望。」

今次黑客由安裝惡意程式，至發動攻擊潛伏近兩年，是否新手法？

鍾麗玲表示：「初時入侵時在電腦系統內安裝一些惡意程式，再收集電腦系統內的資訊，或再拿其他帳戶憑證，累積資料後才選擇一個時候下手。這個不是新發現，在其他個案也時有發生，只是中間期間未必是兩年這麽久。」

公署認為，如果南華會有足夠監察相關伺服器，是有機會阻止事件發生，已向南華會送達執行通知，要求糾正。