又一村有俱樂部洩逾九千名會員資料 私隱署倡機構用高強密碼及多重認證
發佈日期: 2026-04-23 14:15
港澳
九龍塘又一村花園俱樂部,去年洩漏超過九千名會員資料,私隱專員公署完成調查,裁定俱樂部違反《私隱條例》。
又一村花園俱樂部的伺服器,去年10月遭勒索軟件加密無法運作,9,045名會員及前會員資料外洩,包括身份證號碼、聯絡電話及地址等。
私隱專員公署展開調查,指俱樂部有五大缺失。
包括使用過時並存在保安漏洞的遠端存取軟件,連接涉事伺服器,包括欠缺用戶身份認證措施,又使用已過時防毒軟件及防火牆,過長時間保留會員資料,部分更逾七年。而俱樂部亦欠缺資訊保安機構性措施。
助理個人資料私隱專員陳仲文指︰「俱樂部刻意將存放在伺服器內的電腦,長時間維持在登入狀態,確保軟件可以持續在背景進行,令服務供應商無需額外認證,就可以進行遠端存取,但在外洩事件時這個軟件並未具有多重認證功能,令黑客可以在無需進一步認證的情況下,藉住已經偷取了的憑證存取該軟件。」
公署裁定俱樂部違反《私隱條例》,要求採取行動糾正缺失和防止事件再發生。
公署同時提醒,涉及會員和客戶的資料庫,載有大量完整和持續更新的個人資料,容易成為網絡攻擊目標。
個人資料私隱專員鍾麗玲表示︰「會員和客戶資料屬機構重要資產,亦可以說是網絡攻擊高風險目標,機構應該採取一些主動策略,定期檢視資訊系統保安措施的成效,並且投放足夠資源,保障他們所持有的個人資料。」
她說機構可使用高強度密碼或多重身份認證,使用私人虛擬網絡VPN做遠端存取等,同時為員工提供定期資訊保安培訓。
