桂冠论坛及芭蕾舞团资料外泄涉系统过时 港私隐公署促改善

【大纪元2024年08月09日讯】（大纪元记者曾晓熏香港报导）私隐专员公署（8日）发表桂冠论坛和香港芭蕾舞团去年系统遭受黑客攻击事件的调查结果，署方指两间机构未有采取可行的措施保障资料，违反《私隐条例》的规定，已向两者发出执行通知要求纠正。

桂冠论坛去年9月27日向公署通报资料外泄，指其电脑系统及档案服务器遭勒索软件攻击。调查发现，桂冠论坛的网络最初于2023年9月26日遭黑客入侵，黑客透过暴力攻击取得桂冠论坛一个具系统管理员权限的账户凭证。黑客随后于桂冠论坛网络内进行横向移动及放置勒索软件“Elbie”，导致储存在桂冠论坛的一组服务器及7个端点装置的档案被加密。同时，存放于另一组服务器的备份数据亦遭黑客毁坏。

受事件影响人数为8,122人，涉及约7,200名电子通讯订阅户的姓名及电邮地址，另约920名的受影响人士包括青年科学家申请人、邵逸夫奖得奖者及其随行人员、本地科学家及讲者、论坛大使及助理申请者、现职及前雇员等，涉及的个人资料包括姓名、地址、电话号码、护照或香港身份证号码、银行户口、信用卡资料、履历表和成绩单等。

私隐专员经调查后认为，桂冠论坛因多项缺失导致资料外泄，包括机构对服务供应商采取的资料保安措施缺乏监察，以致防火墙系统过时、防毒软件的病毒资料库自2019年起未有再更新。机构亦缺乏资讯保安政策指引，令员工及服务供应商未能了解其网络保安责任；机构亦未有将原始数据及备份数据存放于不同网络，导致备份数据遭黑客毁坏，无法复原。

至于另一宗资料外泄事件涉及芭蕾舞团，其于去年10月16日向公署通报资料外泄事故。公署调查发现，芭蕾舞团的一组服务器的运作软件过时，黑客于去年9月15日利用漏洞入侵其网络，并透过恶意工具及程式取得资讯科技管理员及用户的账户密码，进而获取与芭蕾舞团的网络的相关资料及与网络连接的电脑的详情。

黑客于9月17日放置勒索软件“LockBit”，导致储存在芭蕾舞团资讯系统内的档案被加密，并窃取系统内的资料及档案。

芭蕾舞团无法确实受影响档案内的资料，据该机构估算，受外泄事件影响的人士数目可能达37,840人，当中包括芭蕾舞团的雇员、求职者、门票订购者、客席艺术家、活动参加者、捐款者、赞助者及供应商。涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期、地址、电邮地址、电话号码、健康资料、银行户口号码、信用卡号码、雇佣资料及学历资料。

私隐专员钟丽玲认为，今次事件的成因主要是芭蕾舞团的相关服务器的运作软件已过时，并存在多项严重的远端程式码执行漏洞，机构没有任何关于保安修补或更新其服务器的政策或程序，凸显芭蕾舞团在定期保安修补及更新方面的明显缺失。相关服务器在服务供应商进行系统迁移过程中，被不必要地曝露于互联网，大幅增加遭受网络攻击的风险。公署亦认为芭蕾舞团缺乏监察服务供应商，未有对资讯系统进行保安评估及保安审计，增加受攻击的风险。

私隐专员公署表示，明白中小企以及非牟利组织投放于网络安全方面的资源或许有限，唯随着机构的资讯系统数码化，全球的网络攻击和资料外泄事故亦有上升趋势，私隐专员钟丽玲提醒机构，面对与日俱增的网络安全威胁，不论机构大小都不宜掉以轻心，应加强网络保安及数据安全以抵御恶意攻击，从而保障所持有的个人资料。公署建议机构应定期进行保安系统风险评估及更新软件，并定期对资讯及通讯系统进行保安漏洞评估及渗透测试。@

责任编辑：陈真