香港桂冠論壇芭蕾舞團洩逾4萬人資料 私隱公署批兩機構存4缺失
香港桂冠論壇委員會及香港芭蕾舞團的電腦網絡去年9月遭黑客入侵,分別導致逾8,000人及3.7萬人的個人資料外洩,包括姓名、香港身份證號碼、銀行戶口號碼等等。香港特區個人資料私隱專員公署昨日公布調查結果,指出桂冠論壇涉及4大缺失,包括資訊系統管理有欠妥善、對服務供應商採取的資料保安措施缺乏監察等;芭蕾舞團同涉4大缺失,包括相關伺服器的運作軟件已過時及存在多項嚴重的遠端程式碼執行漏洞等,遂裁定兩間機構違反《個人資料(私隱)條例》的保障資料第4(1)原則有關個人資料保安的規定,並已送達執行通知,指示有關人士採取措施以糾正違規事項,防止類似違規情況再發生。 ◆香港文匯報記者 蕭景源
私隱專員公署調查發現,桂冠論壇網絡於2023年9月26日遭受黑客入侵。黑客透過暴力攻擊,取得桂冠論壇一個具系統管理員權限的賬戶憑證,並利用該賬戶通過防火牆的虛擬私有網絡區域,成功進入桂冠的伺服器。其後,黑客在桂冠論壇的網絡內,進行橫向移動及放置勒索軟件「Elbie」,導致儲存在桂冠論壇的一組伺服器,以及七個端點裝置的檔案被加密,存放於另一組伺服器的備份數據亦遭黑客毀壞。
是次事件共有8,122人受影響,包括約7,200名電子通訊訂閱戶的姓名及電郵地址,另920名受影響人士為青年科學家申請人、邵逸夫獎得獎者及其隨行人員、本地科學家及講者、評審員等。涉及的資料包括姓名、地址、電話號碼、護照或香港身份證號碼、銀行戶口或信用卡資料等。
無指引 工具過時 竟無備份
個人資料私隱專員鍾麗玲認為,桂冠論壇4項缺失是導致外洩事件的主因:
一,資訊系統管理有欠妥善,包括其防火牆的韌體已過時並存在多項嚴重漏洞、防毒軟件的病毒資料庫自2019年起不曾更新、沒有為遠端存取資料啟用多重認證功能核實用戶身份、沒有制定密碼政策、沒有採用網絡分段或設置內部防火牆規則,亦不曾為資訊系統進行保安審計及漏洞評估等。
二,對服務供應商採取的資料保安措施缺乏監察,以確保服務供應商履行已簽訂的合同要求適時更新軟件及安裝修補程式,導致桂冠論壇在外洩事件發生後才發現其防火牆使用已過時的韌體並存在多項嚴重漏洞,而防毒軟件的病毒資料庫亦已過時。
三,桂冠論壇欠缺資訊保安政策及指引,令員工及服務供應商未能清楚了解他們在網絡保安框架下的責任及需實施的安全規程。
四,缺乏適當的數據備份方案,未有將原始數據及備份數據存放於不同網絡,導致備份數據在外洩事件中遭黑客毀壞,無法進行數據復原。
對網安系統欠監察評估
就香港芭蕾舞團有限公司的伺服器遭勒索軟件攻擊事件,私隱公署調查發現,芭蕾舞團的網絡於2023年9月15日遭黑客入侵。由於當時舞團的一組伺服器的運作軟件已過時,黑客遂利用該伺服器的漏洞入侵其網絡,再透過各種惡意工具及程式,包括轉儲憑證工具及遠端存取工具,在取得資訊科技管理員及用戶的賬戶密碼後,進而獲取與芭蕾舞團網絡相關的資料,以及與網絡連接的電腦的詳情,並在其網絡內進行橫向移動。黑客又於2023年9月17日利用一個系統管理員賬戶,放置勒索軟件「LockBit」,導致儲存在芭蕾舞團資訊系統內的檔案被加密,之後竊取系統內的資料及檔案。
由於芭蕾舞團無法確定受影響檔案內的資料,根據芭蕾舞團估算,受影響人數可能為37,840名,包括芭蕾舞團僱員、求職者、門票訂購者、客席藝術家、活動參加者、捐款者、贊助者及供應商。涉及的個人資料包括姓名、香港身份證號碼、護照號碼、相片、出生日期、地址、電郵地址、電話號碼、健康資料、銀行戶口號碼及/或信用卡號碼(不包含安全碼)、僱傭資料及學歷資料。
調查認為,芭蕾舞團亦有4大缺失。
一,相關伺服器的運作軟件已過時,並存在多項嚴重的遠端程式碼執行漏洞,而芭蕾舞團沒有任何關於保安修補或更新其伺服器的政策或程序,突顯芭蕾舞團在定期保安修補及更新方面的明顯缺失。
二,有關伺服器在服務供應商進行系統遷移過程中被不必要地曝露於互聯網,大幅增加遭受網絡攻擊的風險,亦使相關伺服器在外洩事件中遭黑客利用。
三,對服務供應商採取的資料保安措施缺乏監察,以確保服務供應商對系統作出適時更新,並對資訊系統實施足夠的保安措施以保障儲存在內的個人資料,而與服務供應商簽訂的服務合約中,亦沒有關於資料保安方面的要求。
第四,沒有對資訊系統進行保安評估及保安審計,導致芭蕾舞團未能適時識別相關伺服器的漏洞,亦增加了資訊系統受到攻擊的風險。
基於上述原因,私隱專員鍾麗玲裁定桂冠論壇和芭蕾舞團並沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《個人資料(私隱)條例》(《私隱條例》)的保障資料第 4(1)原則有關個人資料保安的規定。