消委會遭黑客入侵逾450人資料外洩 私隱署批五項缺失促兩個月內糾正
發佈日期: 2024-05-02 13:00
港澳
消委會去年遭黑客入侵,個人資料私隱專員公署指,有逾450人資料外洩,包括近300名投訴人,認為消委會欠缺足夠保安措施,出現五項缺失,裁定違反《私隱條例》。
消委會去年九月被黑客攻擊,個人資料私隱專員公署完成調查,指黑客去年9月4日取得具管理員權限的帳戶,透過VPN即虛擬私有網絡進入消委會網絡。
約個多星期後,攻擊伺服器及員工的電腦、外置資料儲存裝置,盜去約1.5GB的數據,涉及逾450人的資料,當中包括289名投訴人,24名離職員工等的名字、住址、手提電話號碼等被盜,亦令消委會93個系統遭惡意加密。
公署調查發現,消委會疫情期間容許員工在家工作,但員工對實施多重認證存阻力,資訊科技部員工亦人手不足,未有為遠端存取資料採取多重認證。至疫後仍未實施,令黑客有機可乘。
公署又批評消委會的偵測安全威脅軟件有漏洞,未能攔截黑客之餘,亦無發出警報電郵。
私隱專員鍾麗玲稱:「調查間有問消委會為何有這情況,但消委會回應指由於負責網絡安全的消委會員工,及供應商員工也已離職,所以消委會未能確認有關原因。現時仍未能理解為何用戶的帳戶憑證被黑客取得,消委會亦解釋不了。」
公署又指大量個人資料被盜,是因為儲存在無網絡安全軟件的伺服器內。消委會就指這些資料儲存在兩名員工的工作電腦,包括一份投訴數據分析試算表,但不涉及信用卡、銀行帳戶等,形容受影響個人資料非常有限。但公署認為行為已違反《個人資料(私隱)條例》,已發出執行通知,要求兩個月內糾正,否則或會刑事檢控。
消委會指對公署建議深表重視,又指暫未發現個人資料被公開。
