居家工作乏認證 消委疏忽招黑客
遭盜450人個資勒索 私隱署列五大缺失
消費者委員會電腦系統去年9月被黑客攻擊並遭勒索,個人資料私隱專員公署昨日發表調查報告,指事件導致450人個人資料外洩,公署批評消委會存在五大缺失,包括疫情期間容許員工居家工作,卻沒有為遠端存取資料庫啟動「多重認證」功能,導致黑客能取得賬戶憑證後輕易進入網絡。該會雖已安裝網絡安全軟件,但沒開啟,「猶如有安裝門鎖卻沒有上鎖」,黑客自出自入網絡系統逾兩周才發現。專家提醒居家工作漸普遍,企業機構對網絡安全需提高警惕。
消委會對公署提出的具體建議及批評深表重視,事故發生後已積極採取即時行動糾正問題,而根據外聘的暗網監察服務商資料,至目前為止未有發現任何受影響的消委會資料被公開。
黑客組織ALPHV去年9月4日獲取並利用消委會一個具管理員權限的賬戶,透過虛擬私有網絡(VPN)進入消委會的網絡,導致消委會93個系統遭到惡意加密,11個伺服器及端點裝置被黑客入侵,期間警報系統一直沒有發出警示。同年9月20日,消委會發現其伺服器及端點裝置遭受勒索軟件攻擊。9月21日,消委會向公署通報事件。
參與調查的網絡安全專家證實,事件涉及的數據少於1.5GB,4個載有個人資料的檔案遭受未獲准許查閱,涉及超過450人個人資料,包括投訴人、資訊科技服務供應商員工及消委會現職及已離職員工的姓名、手提電話號碼、住宅或通訊地址、電郵地址、收入範圍等。
黑客如何獲賬戶「解釋唔到」
私隱專員鍾麗玲指出,消委會有五大缺失導致事故,其中最大原因是沒有為遠端存取資料啟用多重認證功能,導致黑客能利用獲取的賬戶憑證進入消委會網絡、進行勒索軟件攻擊。她指出,由於消委會2020年11月疫情期間為方便員工在家工作,容許員工透過VPN連接消委會網絡,而未有啟用多重認證核實身份,直到2022年取消居家工作安排,仍允許員工在沒有多重認證功能的情況下進行遠端連接消委會的網絡,事發後始暫停該安排。
調查亦發現一名前資訊科技部員工沒有於系統設定複雜密碼政策,令有關政策在事發時未有被貫徹實施。至於黑客是如何取得具管理員權限的賬戶?鍾麗玲坦言,相關員工及消委會亦「解釋唔到」,故私隱專員亦「理解唔到」。
鍾麗玲批評,消委會在保障個人資料及網絡安全意識不足,亦欠缺全面和具體資訊保安政策,確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反《個人資料(私隱)條例》第4(1)原則。私隱署暫接獲20宗相關查詢及8宗投訴,已向消委會發出7項執行指令,並要求兩個月內、即6月29日須提交證據證明已執行,否則屬違法,公署會跟進。由於消委會通報處理及時,暫不會就事件作檢控。
香港智慧城市聯盟資訊科技管理委員會主席龐博文表示,事件揭露消委會系統陷入「網絡不設防」危機,雖有資訊科技部門,但監察及抵禦入侵的能力有待改善,有必要全面提升系統使用者、管理者及服務供應商的網絡安全意識及應變能力。「作為企業或機構的負責人,自己必須具備一定網絡保安知識,這樣才懂得分辨服務供應商的優劣,否則連要求也不懂得提出,也不懂得如何監察。」
