個人資料私隱專員公署今日(8日)發表對香港桂冠論壇委員會及香港芭蕾舞團資料外洩事故的調查。私隱專員公署指桂冠論壇和芭蕾舞團資料外洩事故,均違反《私隱條例》規定,已發出執行通知,指示作出糾正。
私隱專員公署發表對桂冠論壇及芭蕾舞團資料外洩事故的調查。資料圖片
桂冠論壇資料外洩事故 逾8千人受影響
桂冠論壇於去年9月26日遭黑客入侵,導致儲存在桂冠論壇的一組伺服器及七個端點裝置的檔案被加密,存放於另一組伺服器的備份數據亦遭黑客毁壞,8,122人資料被外洩,當中包括邵逸夫獎得獎者、電子通訊訂閱戶和青年科學家等。
根據公署調查顯示,桂冠論壇的資訊系統管理有欠妥善,相關系統防火牆韌體有多項嚴重漏洞,防毒軟件病毒資料庫自2019年未有曾更新,防毒軟件的病毒資料庫已過時,亦未為遠端存取資料啟用多重認證功能等。桂冠論壇對服務供應商的資料保安措施欠缺監察,亦未有資訊保安政策和指引,而欠缺適當的數據備份方案。
私隱專員鍾麗玲。資料圖片
逾3萬人資料或外洩
而香港芭蕾舞團於去年9月29日遭受勒索軟件攻擊,但無法確實受影響檔案內的資料,受外洩事件影響的人士數目可能為37,840名,包括芭蕾舞團的僱員、求職者、門票訂購者等,外洩資料包活香港身份證號碼、護照號碼、相片、出生日期、等。公署指,發現相關伺服器運作軟件已過時,服務供應商遷移系統時,亦不必要地曝露在互聯網,大幅增加遭受攻擊的風險。芭蕾舞團對服務供應商欠缺監察,也沒有對資訊系進行保安評估和審計。
私隱專員鍾麗玲裁定桂冠論壇和芭蕾舞團沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反《個人資料(私隱)條例》的規定,已通發出執行通知,指示作出糾正。