樂施會2024年遭勒索軟件攻擊。個人資料私隱專員公署周四(23日)公佈調查結果,署方指,有超過330GB的數據被竊取,可能影響約55萬人。公署發現,事故因過時的防火牆存在嚴重漏洞,及過長地保存個人資料等引致,裁定樂施會違反了《私隱條例》,已向樂施會送達執行通知,指示其採取措施以糾正違規事項。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
私隱專員鍾麗玲指,樂施會於事發前未有採取足夠及有效的措施以保障其資訊系統的安全,亦未有制訂有效的機制適時地銷毀超過保存期限的個人資料。
私隱公署指,調查發現,黑客透過「暴力攻擊」及利用防火牆的嚴重漏洞,執行遠端程式碼及指令,導致樂施會共 37 台伺服器及 24 台工作電腦或手提電腦被入侵,當中包括檔案伺服器、捐款者資料庫、樂施會毅行者網站資料庫、人力資源系統等。受影響的人士或包括捐款者、活動參加者、義工、項目夥伴、項目參與者、項目顧問、現職及離職僱員、求職者及管治成員。涉及的個人資料包括姓名、香港身份證號碼或副本、電話號碼、電郵地址、地址、信用卡號碼及銀行帳戶號碼等。
署方稱,樂施會自 2023 年 6 月以來未對涉事防火牆進行任何修補或更新,存在兩項嚴重漏洞,亦未啟用多重認證功能。署方亦發現,樂施會曾多次偵測到黑客的活動,包括異常的登入嘗試,卻沒有採取任何行動。樂施會解釋指,因缺乏通知相關團隊或人員的機制。署方指出,樂施會對資訊系統進行的保安評估不足,資訊保安政策有欠具體。
署方亦稱,樂施會保存部分個人資料超過實際所需的時間,包括樂施會在7年前舉辦的活動約4,000項參加者的個人資料;600項在2021至2024年間落選者的個人資料;50項與顧問個人資料,這些顧問在完成向樂施會提供顧問服務超過7年仍被保存;及35份前管治委員會成員的香港身份證或護照副本。
署方續指,樂施會已就外洩事件通知受影響人士,並在外洩事件發生後實施各項措施以加強整體系統安全,包括實施外部顧問就資訊安全措施所提供的建議,亦承諾更新其資訊科技政策,以建立全面的漏洞管理計劃,包括進行定期漏洞掃描及滲透測試。樂施會則因資料外泄事件,收到一宗投訴及一宗查詢。
樂施會回應指,對事件高度重視,又說根據服務供應商的監察報告,目前未有證據顯示有關的個人資料因是次事件流會。又指已實施改善措施以加強整體系統安全,包括升級最新版本防火牆,實施多重身份認證等,承諾會建立個人資料保存政策,定明資料保存期限等,並於兩個月內向公署提交執行報告。
