私隱專員公署星期四(4月23日)發表有關又一村花園俱樂部資料外洩事故的調查報告,指事件合共影響9045人。私隱專員鍾麗玲對事件表示失望,裁定該俱樂部違反《私隱條例》規定,並已送達執行通知,指示其採取措施糾正違規事項,防止同類事件再次發生。
個人資料私隱專員(私隱專員)鍾麗玲。資料圖片
伺服器遭勒索軟件加密 大量個人資料外洩
調查報告指出,事故源於又一村花園俱樂部存放於伺服器內的俱樂部管理系統檔案,遭勒索軟件加密而無法運作。外洩的個人資料種類廣泛,包括姓名、香港身份證號碼及或護照號碼、出生日期、電郵地址、聯絡電話及住址。
欠缺資訊保安措施 過時軟體成漏洞
鍾麗玲指出,事件暴露了俱樂部在資訊保安上的多重缺失。俱樂部欠缺整體的資訊保安機構性措施,使用了過時並存在已知保安漏洞的遠端存取軟件。更嚴重的是,伺服器的遠端存取功能欠缺用户身分認證措施,令系統門户大開。此外,俱樂部亦使用過時的防毒軟件及防火牆,未能有效抵禦網絡攻擊。
過長保留個人資料 涉逾3800名前會員及附屬卡持有人
報告亦揭示,俱樂部過長地保留個人資料,其中包括保留800多名前會員及3000多名附屬卡持有人的個人資料超過7年,遠超實際需要,增加了資料外洩時的潛在風險。
個人資料私隱專員公署(圖片來源:星島日報)
公署提醒機構須主動保障資料安全
鍾麗玲強調,黑客一旦入侵會員及客户資料庫,往往會竊取大量個人資料,並出售作不法用途。她提醒所有機構,會員及客户資料屬於重要資產,也是網絡攻擊的高風險目標。機構應採取主動策略,定期檢視資訊系統保安措施的成效,並投放足夠資源以保障個人資料,從而符合《私隱條例》規定及資料當事人的合理期望。公署指出,又一村花園俱樂部在事發後已通知所有受影響人士,並採取多項補救措施。
