大公文匯全媒體報道,消費者委員會(消委會)於去年9月遭受黑客組織「Alpha」(或稱「Black Cat」)的網絡攻擊,導致數據外洩和系統被加密。黑客利用一個具有管理權限的賬戶,通過虛擬私有網絡(VPN)進入消委會的網絡系統,對伺服器和端點裝置進行勒索軟件攻擊。個人資料私隱專員公署今日(2日)召開記者會,向公眾報告調查結果。
個人資料私隱專員鍾麗玲表示,此次事件中,涉及的數據少於1.5GB,包括黑客進行的網絡活動如網絡掃描。有4個含有個人資料的檔案遭到未獲准許的查閱,影響超過450位人士的個人資料,包括投訴人、資訊科技服務供應商的員工以及消委會現職及已離職的員工。
受影響的個人資料類別包括:
1. 289名投訴人:姓名、手提電話號碼、住址或通訊地址、電郵地址、收入範圍、年齡範圍及投訴性質。
2. 26名資訊科技服務供應商的員工:姓名、職銜、電郵地址、公司電話號碼和手提電話號碼。
3. 消委會員工:姓名、所屬部門名稱、公司電話號碼及職銜。
鍾麗玲補充,經過調查,發現此事件是由於多項安全措施缺失所導致,包括未啟用多重認證功能、未妥善設定網絡安全軟件、欠缺防止在測試伺服器中儲存個人資料的保安措施、資訊保安政策不全面,以及員工在保障個人資料私隱和網絡安全方面意識不足。
署理首席個人資料主任(合規及查詢)郭正熙指出,根據《私隱條例》的規定,消委會作為個人資料使用者,需要遵從六個保障資料原則,特別是第四原則——個人資料保安的規定。因此,消委會已被裁定違反相關規定,並收到執行通知,要求在兩個月內採取一系列改善措施,包括實施多重身份認證、聘請獨立資訊安全專家檢視保安措施、定期檢視資訊系統保安、制定清晰和全面的保安政策和程序,以及加強數據安全和資料保護的培訓。
郭正熙強調,如消委會未能遵守執行通知,將面臨最高港幣五萬元罰款和兩年監禁的刑罰。
