南華體育會(南華會)電腦伺服器 3 月時遭黑客入侵,涉及超過 7.2 萬名會員的個人資料,包括姓名、身份證號碼、護照號碼、相片、出生日期和地址等。黑客利用早前已潛入南華會系統的惡意程式,進行大規模的攻擊,並通過勒索軟件加密會員資料,要求贖金。個人資料私隱專員公署調查後發表報告,批評南華會多項管理缺失。
▲南華會電腦伺服器 3 月時遭黑客入侵,個人資料私隱專員公署批評南華會多項管理缺失(圖片來源:南華會 Facebook)
公署報告顯示,黑客早在 2022 年 1 月就已經成功入侵南華會的伺服器,並安裝了惡意軟件。南華會未能及時發現,伺服器長時間暴露於互聯網,成為黑客進一步攻擊的跳板。今年3月,黑客利用潛伏的惡意程式安裝了遠端控制軟件,隨後進行攻擊,停用防毒及反惡意軟件,最終加密了包含會員資料的檔案。波及到南華會 8 台伺服器、 1台數據儲存器及 18 台電腦,並要求南華會支付贖金來解鎖這些被加密的資料。
公署指出,南華會未能有效保護會員的個人資料,主要原因是其資訊系統缺乏必要的保安措施。特別是在黑客嘗試登入南華會伺服器期間,錄得超過 4.34 萬次的登入嘗試,其中 4 小時內就達到 2 萬次,而異常活動並未被即時偵測到。南華會亦未有為管理員帳戶啟用多重認證功能,導致黑客能輕易攻破系統。公署強調,假如南華會在事發前已採取足夠的保安措施,是次資料外洩事故本可避免。
針對事件,公署已向南華會發出執行通知,要求其採取一系列的整改措施,包括每年至少審視一次伺服器是否必須連接互聯網,定期更新偵測和警示工具,並聘請獨立資訊保安專家進行年度風險評估和保安審計。南華會還需在兩個月內提交相關改善措施的證明文件,以證明其已遵循公署的要求。
公署同時警告受影響的會員應提高警惕,特別是要留意其個人銀行帳戶是否有異常交易,並建議更改登入密碼及啟用雙重認證功能。公署強烈建議企業和機構不要支付黑客贖金,不只無法保證能取回被加密的資料,還會助長犯罪行為。
資料及圖片來源:南華會 Facebook
相關文章:
私隱專員公署攜全球 15 私隱機構發聲明 籲社交平台加強保護個人資料 LinkedIn:已停用港用戶資料訓練 AI 私隱專員表示歡迎