「桂冠」「芭蕾」洩逾4萬項個資
軟件過時被黑客攻擊 私隱公署裁定違規
香港桂冠論壇委員會及香港芭蕾舞團的電腦網絡去年9月被黑客入侵,分別導致逾8,000人及3.7萬人的個人資料外洩,包括姓名、香港身份證號碼、銀行戶口號碼等等。個人資料私隱專員公署昨公布調查結果,指出桂冠論壇涉及4大缺失,包括資訊系統管理有欠妥善、對服務供應商採取的資料保安措施缺乏監察等;芭蕾舞團同涉4大缺失,包括相關伺服器的運作軟件已過時及存在多項嚴重的遠端程式碼執行漏洞等,遂裁定上述兩間機構違反《私隱條例》規定,已送達執行通知,指示其採取措施糾正違規事項,防止類似情況再發生。
私隱專員公署調查發現,桂冠論壇網絡於去年9月26日被黑客入侵。黑客透過暴力攻擊,取得桂冠論壇一個具系統管理員權限的賬戶憑證,並利用該賬戶通過防火牆的虛擬私有網絡區域,成功進入桂冠的伺服器。其後,黑客在桂冠論壇的網絡內,進行橫向移動及放置勒索軟件「Elbie」,導致儲存在桂冠論壇的一組伺服器,以及七個端點裝置的檔案被加密,存放於另一組伺服器的備份數據亦被黑客毀壞。是次事件共有8,122人受影響,當中920名是青年科學家申請人及邵逸夫獎得獎者等,懷疑外洩的資料包括姓名、地址、電話號碼、護照或香港身份證號碼、銀行戶口或信用卡資料等。另外約7,200名訂戶的姓名和電郵地址也外洩。
防火牆涉多項嚴重漏洞
私隱專員鍾麗玲認為,桂冠論壇涉及的4大缺失包括資訊系統管理有欠妥善,相關系統防火牆韌體有多項嚴重漏洞,防毒軟件病毒資料庫自2019年未有更新,防毒軟件的病毒資料庫已過時,亦未為遠端存取資料啟用多重認證功能等。另桂冠論壇對服務供應商的資料保安措施欠缺監察,亦未有資訊保安政策和指引,而且欠缺適當的數據備份方案。
就香港芭蕾舞團有限公司的伺服器被勒索軟件攻擊事件,私隱公署調查發現,芭蕾舞團的網絡於去年9月15日被黑客入侵。由於當時舞團的一組伺服器的運作軟件已過時,黑客遂利用該伺服器的漏洞入侵其網絡,再透過各種惡意工具及程式,包括轉儲憑證工具及遠端存取工具,在取得資訊科技管理員及用戶的賬戶密碼後,進而獲取與芭蕾舞團網絡的相關資料,以及與網絡連接的電腦詳情,並在其網絡內進行橫向移動。黑客又於去年9月17日利用一個系統管理員賬戶,放置勒索軟件「LockBit」,導致儲存在芭蕾舞團資訊系統內的檔案被加密,之後竊取系統內的資料及檔案。
由於芭蕾舞團無法確定受影響檔案內的資料,估算受影響人數可能為37,840名,包括芭蕾舞團的僱員、求職者、門票訂購者等,外洩資料包活香港身份證號碼、護照號碼、相片、出生日期等。調查認為,芭蕾舞團亦有4大缺失,包括發現芭蕾舞團相關伺服器運作軟件已過時,服務供應商遷移系統時,亦不必要地暴露在互聯網,大幅增加被攻擊風險。芭蕾舞團對服務供應商欠缺監察,也沒對資訊系統進行保安評估和審計。
基於上述原因,私隱專員鍾麗玲裁定桂冠論壇和芭蕾舞團違反《個人資料(私隱)條例》的保障資料第 4(1)原則有關個人資料保安的規定。