發佈時間:16:32 2026-04-23
資訊科技日新月異,如技術落後,獲出現漏洞,讓不法分子有機可乘,今日私隱專員公署發布又一村花園俱樂部資料外洩事故的調查報告,受影響的個人資料包括姓名、香港身份證號碼及/或護照號碼、出生日期、聯絡電話、電郵及住址,事件合共影響9045名資料當事人,包括1553名活躍會員、1723名附屬卡持有人、1313名前會員,以及4456 名前附屬卡持有人。
事故源於去年10月31日,又一村花園俱樂部存放於伺服器內的俱樂部管理系統檔案,遭勒索軟件加密而無法運作。所有相關個會員的人資料均儲存於上述伺服器内,並由外判供應商負責維護系統,供應商透過專用的遠端存取軟件連接伺服器,提供技術支援。
事發時相關遠端存取軟件已屬過時版本,而且防毒軟件及防火牆均已失效,未能偵測及阻止黑客活動。黑客利用該漏洞成功竊取服務供應商的帳戶憑證,直接進入儲存大量個人資料的相關伺服器。 此外,該伺服器長時間保持登入狀態,俱樂部並無實施額外的身分認證措施,進一步削弱系統的保安防護。
又一村花園俱樂部為一所私人、非牟利的社交及康樂機構,專門為已登記會員及賓客提供康樂設施及餐飲服務。在外洩事件發生後,該俱樂部已通知受影響人士,並採取多項補救措施,包括停止使用存在漏洞的遠端存取軟件、對所有遠端存取連接進行監控、將所有服器及端點的防毒軟件及防火牆更新至最新版本,以及將儲存於服器內的個人資料檔案加密。
私隱專員公署裁定俱樂部違反《私隱條例》
私隱專員公署就外洩事件共進行了四次查訊,並審視了俱樂部提供的資料,以及俱樂部就外洩事件的跟進及補救工作。經考慮外洩事件的情況及調查所獲得的資料,私隱專員鍾麗玲認為,又一村花園俱樂部未有採取適當及充分的機構性及技術性資訊保安措施,以保障其資訊系統內所儲存的個人資料。
此外,俱樂部沒有採取所有切實可行的步驟,以確保個人資料的保存時間不超過使用相關資料實際所需的時間。基於上述情況,公署裁定俱樂部違反《私隱條例》,並向俱樂部送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
鍾麗玲:應定期檢視資訊系統保安措施成效
鍾麗玲指出,涉及會員及客戶的資料庫通常載有大量、完整且持續更新的個人資料,因而成為網絡攻擊的主要目標。黑客一旦入侵資料庫,往往會竊取大量個人資料,並出售用作不法用途。她提醒所有收集和保存大量會員及客戶個人資料的機構,應採取主動的策略,定期檢視資訊系統保安措施的成效,並投放足夠資源以保障會員及客戶的個人資料,從而遵從《私隱條例》的規定,並符合資料當事人的合理期望。
公署建議,機構應採取足夠及合適的機構性及技術性措施,以保障載有個人資料的資訊系統,包括及時更新遠端存取軟件、防毒軟件及防火牆,以修補已知漏洞; 為存取資料實施有效的用戶身分認證,包括使用強密碼及多重身分認證; 建立充分的機構性措施,包括資訊保安的內部政策及穩妥的遠端存取方案等。
至於醫管局早前外洩5.6萬名病人資料,私隱專員公署指截止本周二,收到6宗投訴及8宗查詢。鍾麗玲表示,公署在收到相關機構通報資料外洩事故後,即時展開調查 ,亦已經與相關機構代表開會,要求他們提交相關資料及採取補救措施,並已經建議為他們安排進行保障私隱方面的講座及培訓。
為支援家長及老師,公署發布《保護兒童網上私隱—給家長及老師的實用貼士》,該貼士鼓勵家長及老師與兒童討論上網時需要注意的事項,家長及老師應提醒兒童,在使用網上平台或與人工智能工具互動時,不要過度分享個人資料,慎留數碼足跡,並檢查及調整預設的私隱設定。 同時,亦應培養兒童尊重他人私隱的意識等。 善用平台提供的家長操控措施監察兒童的網上活動,並親身體驗最新科技,以深入了解網上平台的功能和服務。
下載《保護兒童網上私隱——給家長及老師的實用貼士》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/leaflet_childrenonlineprivacy_c.pdf
此外,為協助家長及老師更容易理解相關貼士,私隱專員公署亦發布了一份「懶人包」,扼要總結實用貼士。下載「懶人包」:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/safeguarding_practicaltips.pdf
立即追蹤《東周刊》全新WhatsApp頻道,緊貼全城熱話、突發猛料、獨家消息!
https://bit.ly/4gnvlZf
