抱歉,我們並不支援你正使用的瀏覽器。
為達至最佳瀏覽效果,請更新至最新的瀏覽器版本。
如有問題,歡迎電郵至 pccwmediaiapps@pccw.com 查詢。
為達至最佳瀏覽效果,請更新至最新的瀏覽器版本。
如有問題,歡迎電郵至 pccwmediaiapps@pccw.com 查詢。
廣告
【Now新聞台】南華會今年初發生大批會員資料外洩事故,個人資料私隱專員公署調查事故後,發現南華會有六項缺失;又批評該會保障會員的個人資料意識薄弱,裁定違反私隱條例有關個人資料保安規定。
南華會七個月前遭黑客加密檔案及勒索,涉及超過7.2萬名會員資料,資料包括姓名、身份證號碼、護照號碼、相片、出生日期等。
公署調查後發現,黑客在兩年前已在南華會一台與互聯網連結的伺服器內,安裝惡意程式;今年3月入侵南華會網絡及安裝遠端控制軟件,之後透過勒索軟件將會員資料加密。
個人資料私隱專員鍾麗玲:「調查顯示,南華會對保障所持有會員的個人資料意識薄弱。南華會作為歷史悠久的體育團體、持有大量會員個人資料的機構,對南華會在外洩事件發生前,未有採取有效的資訊系統保安措施去保障會員的個人資料,感到非常失望。」
私隱署認為,南華會在事故中有六項缺失,包括相關伺服器意外地曝露於互聯網,如同為黑客開啟入口,受攻擊風險大增;亦欠缺有效偵測措施,未能及早發現被安裝惡意程式,令黑客曾嘗試超過4萬次登入;亦沒有鎖定帳戶等;未有為管理員帳戶啟用多重認證功能,導致黑客未經其他身份核實就可以進入伺服器;亦未有制訂資訊保安政策指引;無定期進行風險評估及保安審計,以檢視網絡保安成效。
鍾麗玲:「在事發之前,其資料保安措施可以說是非常基本,即使系統給黑客安裝了程式,有一些惡意程式都不知道。」
公署裁定南華會違反私隱條例相關規定,已要求糾正,包括制訂政策及措施,定期檢視及更新偵測及警示工具等。
