黑客潛伏兩年未察 南華會違私隱例 學校非牟利機構外泄案趨增 佔總數逾三成

【明報專訊】南華體育會今年3月發生資料外泄事故，逾7.2萬名會員受影響。私隱專員公署昨公布調查結果，發現早於事發兩年前已有黑客潛伏於南華會伺服器，但偵測措施未能識別，直至黑客攻擊及入侵。公署指黑客潛伏時間雖較長，但認為會方若有採取所有切實可行步驟，有機會避免事故，裁定違反私隱條例，已送達執行通知。私隱署亦發現近兩年涉及學校及非牟利機構的外泄事故趨升，均佔整體資料外泄事故逾三成，提醒機構加強資訊安全措施（見另稿）。

私隱署調查發現，南華會一台與互聯網連接的伺服器於2022年1月被黑客安裝惡意程式，今年3月黑客透過該惡意程式入侵南華會網絡，安裝遠端控制軟件，並對電腦系統展開攻擊及其他惡意活動，嘗試登入逾4.3萬次，再利用Trigona變種勒索軟件將載有會員個人資料的檔案加密。

2022年裝惡意程式 今年展開攻擊

事件導致南華會共8台伺服器、一台數據儲存器及18台電腦遭受勒索軟件攻擊及加密，影響72,315名會員，外泄資料包括姓名、身分證號碼、護照號碼、相片、緊急聯絡人資料等。黑客曾勒索南華會，但會方未有支付贖金。

私隱專員鍾麗玲指出，南華會保障會員資料意識薄弱，犯下多項缺失，包括伺服器被意外曝露於互聯網、資訊系統欠缺有效偵測措施、沒有為管理員帳戶啟用多重認證功能、無定期保安審計等。對於惡意程式潛伏多時，鍾麗玲指黑客首次入侵後相隔一段時間再攻擊時有發生，目的是收集電腦系統的資訊後才攻擊。私隱署首席個人資料主任（合規及查詢）郭正熙補充，兩年屬較長時間，但因南華會無定期審視保安，故未發現偵測措施成效不彰顯。

私隱署：倘採所有可行步驟 或可免事故

至於外泄資料是否已流出，鍾麗玲稱不屬私隱署調查範圍，指黑客接觸資料後，有可能轉賣他人，「就等於去了互聯網的大海」，當事人難以尋回及刪除。她透露就事故收到兩宗投訴及9宗查詢。

私隱署對於南華會作為一個歷史悠久及持有大量個人資料的體育團體，卻未有在事前採取有效資訊系統保安措施，感到非常失望，認為如在事發前已採取適當及足夠的機構性及技術保安措施，是次事故「相當有機會可以避免」，因此裁定違反《個人資料（私隱）條例》。

促定期檢視偵測工具 聘專家做審計

公署已向南華會發出執行通知，包括每年至少審視一次個人資料系統連結互聯網的必要，定期檢視及更新偵測及警示工具，聘請獨立資訊保安專家每年做風險評估及保安審計等。南華會須在兩個月內提交執行證明文件。署方亦稱，南華會在外泄事件發生後已通知所有受影響會員，並採取改善措施，包括限制網內服務連接至互聯網、為管理員帳戶啟用多重認證功能、定期掃描網絡以識別保安漏洞等。