香港桂冠論壇委員會及香港芭蕾舞團分別於去年9月遭黑客入侵,引發資料外泄事故。個人資料私隱專員公署今日(8日)表示已就事件完成調查,說桂冠論壇防火牆韌體過時並存在多項漏洞;芭蕾舞團伺服器的運作軟件過時,存多項遠端程式碼執行漏洞。公署要求他們採取措施以糾正違規事項。
調查顯示,桂冠論壇去年9月26日被黑客入侵,黑客獲取一個有系統管理員權限的帳戶憑證後,進入桂冠的伺服器並放置勒索軟件「Elbie」,令一個伺服器及7個端點裝置的檔案被加密、備份數據被毁。
事件中有8,122人受影響,包括約7,200名電子通訊訂閱戶的姓名及電郵地址;約920名的受影響人士為青年科學家申請人、邵逸夫獎得獎者及其隨行人員、本地科學家及講者、現職僱員等,資料包括姓名、地址、電話號碼、護照或香港身分證號碼、銀行戶口或信用卡資料等。
公署表示,桂冠的防毒軟件的病毒資料庫自2019年便不再更新;未為遠端存取資料啟用多重認證功能;不曾為系統進行保安審計及漏洞評估;缺乏監察服務供應商採取的資料保安措施;未有適時更新軟件及安裝修補程式;欠缺資訊保安政策及指引;缺乏適當的數據備份方案。
另外,芭蕾舞團去年10月16日向公署通報事故,調查顯示芭蕾舞團的一組伺服器運作軟件過時。調查指黑客去年9月15日利用漏洞入侵網絡,透過惡意工具及程式取得資訊科技管理員及用戶的帳戶密碼。黑客於兩日後放置勒索軟件「LockBit」,令資訊系統的檔案被加密,之後竊取系統內的資料及檔案。
公署指芭蕾舞團無法確實受影響的資料,舞團估算37,840人可能受影響,包括僱員、求職者、門票訂購者等,涉及姓名、香港身分證及護照號碼、地址、銀行戶口號碼或不包含安全碼的信用卡號碼等。
公署調查指 芭蕾舞團的伺服器存多項遠端程式碼執行漏洞;無任何關於保安修補或更新其伺服器的政策或程序;相關伺服器在服務供應商進行系統遷移過程中被不必要地曝露於互聯網,增加遭受網絡攻擊的風險。公署認為芭蕾舞團缺乏監察服務供應商,沒有對資訊系統進行保安評估及保安審計,導致資訊系統受攻擊的風險增加。
公署調查後認為, 芭蕾舞團的伺服器存在多項嚴重的遠端程式碼執行漏洞,亦無任何關於保安修補或更新其伺服器的政策或程序,而相關伺服器在服務供應商進行系統遷移過程中,被不必要地曝露於互聯網,大幅增加遭受網絡攻擊的風險。公署亦認為舞團缺乏監察服務供應商,並無對資訊系統進行保安評估及保安審計,增加資訊系統受攻擊的風險。
公署指兩機構在事故後已採取改善措施,但兩者因沒採取切實可行的步驟確保涉事的個人資料受保障,被裁定違反《私隱條例》,建議應定期進行保安系統風險評估及更新軟件、定期對資訊及通訊系統進行保安漏洞評估及滲透測試。
#桂冠論壇 #香港芭蕾舞團 #資料外泄 #黑客入侵
