桂冠論壇及香港芭蕾舞團資料外泄　私隱公署指兩者軟件過時　已要求糾正 (11:54)

香港桂冠論壇委員會及香港芭蕾舞團有限公司分別於去年9月遭黑客入侵，發生資料外泄事故。個人資料私隱專員公署今（8日）表示已就兩宗事件完成調查，稱桂冠論壇資訊系統管理有欠妥善，包括防火牆的韌體已過時並存在多項嚴重漏洞；而芭蕾舞團伺服器的運作軟件已過時，並存在多項嚴重的遠端程式碼執行漏洞。公署裁定兩間機構違反《個人資料（私隱）條例》的保障資料第 4(1)原則有關個人資料保安的規定，已送達執行通知，指示其採取措施以糾正違規事項。

公署調查顯示，桂冠論壇的網絡於去年9月26日遭黑客入侵，黑客獲得一個具系統管理員權限的帳戶憑證，之後成功進入桂冠的伺服器並放置勒索軟件「Elbie」，導致儲存於一個伺服器及7個端點裝置的檔案被加密，備份數據亦遭毁壞。事件中受影響人數為8122人，涉及約7200名電子通訊訂閱戶的姓名及電郵地址，另約920名的受影響人士包括青年科學家申請人、邵逸夫獎得獎者及其隨行人員、本地科學家及講者、現職僱員等，涉及的資料包括姓名、地址、電話號碼、護照或香港身分證號碼、銀行戶口或信用卡資料等。

公署表示，桂冠的資訊系統管理有欠妥善，防毒軟件的病毒資料庫自2019年起不曾更新，未有為遠端存取資料啟用多重認證功能核實用戶身分，亦不曾為資訊系統進行保安審計及漏洞評估等，另亦缺乏監察服務供應商採取的資料保安措施，未有確保服務供應商履行要求，適時更新軟件及安裝修補程式。調查又指，桂冠論壇欠缺資訊保安政策及指引，亦缺乏適當的數據備份方案。

芭蕾舞團估算37840人受事故影響　涉身分證、銀行戶口號碼資料

芭蕾舞團於去年10月16日向公署通報資料外泄事故，公署調查顯示，芭蕾舞團的一組伺服器的運作軟件已屬過時，黑客最初於去年9月15日利用漏洞入侵其網絡，並透過惡意工具及程式，在取得資訊科技管理員及用戶的帳戶密碼後，進而獲取與芭蕾舞團的網絡的相關資料及與網絡連接的電腦的詳情。黑客於9月17日放置勒索軟件「LockBit」，導致儲存在芭蕾舞團資訊系統內的檔案被加密，之後竊取系統內的資料及檔案。

公署指，芭蕾舞團無法確實受影響檔案內的資料，舞團估算受外泄事件影響的人士數目可能為37,840人，包括僱員、求職者、門票訂購者等，涉及姓名、香港身分證及護照號碼、地址、銀行戶口號碼或不包含安全碼的信用卡號碼等。

公署調查後認為， 芭蕾舞團的伺服器存在多項嚴重的遠端程式碼執行漏洞，亦無任何關於保安修補或更新其伺服器的政策或程序，而相關伺服器在服務供應商進行系統遷移過程中，被不必要地曝露於互聯網，大幅增加遭受網絡攻擊的風險。公署亦認為舞團缺乏監察服務供應商，並無對資訊系統進行保安評估及保安審計，增加資訊系統受攻擊的風險。

調查稱，兩機構在事故後已採取改善措施。私隱專員鍾麗玲裁定，桂冠論壇及芭蕾舞團沒有採取所有切實可行的步驟，以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，違反《私隱條例》。她說，明白中小企及非牟利組織投放於網絡安全方面的資源或許有限，但提醒網絡安全威脅與日俱增，機構不宜掉以輕心，建議應定期進行保安系統風險評估及更新軟件，並定期對資訊及通訊系統進行保安漏洞評估及滲透測試。