又一村俱樂部洩逾9千人個資 防毒軟件揭過時
個人資料私隱專員公署昨日發表涉及又一村花園俱樂部資料外洩事故的調查報告。涉及俱樂部外判服務供應商使用的遠端存取軟件過時並存在保安漏洞,黑客藉此竊取供應商賬戶憑證,入侵系統並獲取會員檔案,合共9,045人的姓名、香港身份證號碼或護照號碼、出生日期、聯絡電話及地址等個人資料被外洩。此外,防毒軟件及防火牆亦已過時,未能有效偵測及阻截黑客活動。公署裁定俱樂部未有採取所有切實可行步驟保障個人資料,違反《個人資料(私隱)條例》相關規定,已向俱樂部送達執行通知,要求對方採取補救措施並防止再次發生,並適時更新相關軟件並定期進行保安風險評估、漏洞掃描及系統審計。
該俱樂部是一間私人非牟利的社交及康樂機構,向已登記會員及賓客提供康樂設施及餐飲服務。其管理系統負責管理會員資料,所有資料均儲存於伺服器。系統由外判供應商提供及維護,供應商並透過專用遠端存取軟件連接伺服器,以提供技術支援。俱樂部去年10月31日向公署通報指出,伺服器內檔案被勒索軟件加密致系統無法運作,並令會員個人資料外洩。
