[2024年10月22日]
南華會洩逾7.2萬會員個人資料
南華會於今年3月遭遇黑客入侵事件,導致超過7.2萬名會員的個人資料外洩。個人資料私隱專員裁定該會違反了私隱條例有關個人資料保安的規定。
個人資料私隱專員公署調查南華體育會(南華會)資料外洩事故,發現黑客早於2022年1月已在南華會一台與互聯網連接的伺服器內安裝了惡意程式,惟沒有證據顯示黑客當時有進一步的惡意活動。2024年3月,黑客透過潛伏在相關伺服器內的惡意程式入侵南華會網絡並安裝遠端控制軟件,隨後透過遠端存取對南華會的電腦系統展開暴力攻擊,並進行其他惡意活動,包括網絡偵察、防禦規避、停用防毒及反惡意軟件、安裝憑證竊取工具及橫向移動,最終透過勒索軟件將載有會員個人資料的檔案加密。有關的勒索軟件屬Trigona的變種,外洩事件導致南華會共八台伺服器、一台數據儲存器及18台電腦遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金,為已被加密的檔案解鎖。
外洩的會員資料包括姓名、身份證號碼、相片及出生日期等。經過七個月的調查,個人資料私隱專員公署公布了調查結果,指出黑客早在兩年前便在南華會的一台與互聯網連結的伺服器內安裝了惡意程式,並於今年3月入侵南華會網絡,安裝了遠端控制軟件,最終利用勒索軟件將會員資料加密。
私隱專員公署,南華會作為一個歷史悠久的體育團體及持有大量個人資料的機構,私隱專員對南華會在外洩事件發生前未能採取有效的資訊系統保安措施保障會員的個人資料安全感到非常失望。私隱專員認為,假如南華會在事發前已採取適當及足夠的機構性及技術性的保安措施,是次資料外洩事故是相當有機會可以避免的。因此,私隱專員裁定南華會沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反了《個人資料(私隱)條例》的保障資料第 4(1)原則有關個人資料保安的規定。
私隱專員公署已向南華會送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
🔽全面覆蓋最新港聞🔽
官方網頁: https://www.cvrhk.com
YOUTUBE頻道:https://www.youtube.com/c/全民新聞CVRHK
Facebook專頁:https://www.facebook.com/cvrhk
-------------------------------------------------
支持全民小店《維瓦》: https://www.facebook.com/volvahk
店舖地址:旺角西洋菜南街銀城廣場地庫B31號舖
-------------------------------------------------
全民新聞 (@cvrhk_news) on IG , Threads