資訊保安

南華會 7.2 萬會員資料外洩 私隱公署批會方多項缺失、意識薄弱

Published by
Pickle Rick

南華體育會(南華會)電腦伺服器 3 月時遭黑客入侵,涉及超過 7.2 萬名會員的個人資料,包括姓名、身份證號碼、護照號碼、相片、出生日期和地址等。黑客利用早前已潛入南華會系統的惡意程式,進行大規模的攻擊,並通過勒索軟件加密會員資料,要求贖金。個人資料私隱專員公署調查後發表報告批評南華會多項管理缺失。

 

南華會電腦伺服器 3 月時遭黑客入侵,個人資料私隱專員公署批評南華會多項管理缺失(圖片來源:南華會 Facebook

 

公署報告顯示,黑客早在 2022 1 月就已經成功入侵南華會的伺服器,並安裝了惡意軟件。南華會未能及時發現,伺服器長時間暴露於互聯網,成為黑客進一步攻擊的跳板。今年3月,黑客利用潛伏的惡意程式安裝了遠端控制軟件,隨後進行攻擊,停用防毒及反惡意軟件,最終加密了包含會員資料的檔案。波及到南華會 8 台伺服器、 1台數據儲存器及 18 台電腦,並要求南華會支付贖金來解鎖這些被加密的資料。

 

公署指出,南華會未能有效保護會員的個人資料,主要原因是其資訊系統缺乏必要的保安措施。特別是在黑客嘗試登入南華會伺服器期間,錄得超過 4.34 萬次的登入嘗試,其中 4 小時內就達到

2 萬次,異常活動並未被即時偵測到。南華會亦未有為管理員帳戶啟用多重認證功能,導致黑客能輕易攻破系統。公署強調,假如南華會在事發前已採取足夠的保安措施,次資料外洩事故本可避免。

 

針對事件,公署已向南華會發出執行通知,要求其採取一系列的整改措施,包括每年至少審視一次伺服器是否必須連接互聯網,定期更新偵測和警示工具,並聘請獨立資訊保安專家進行年度風險評估和保安審計。南華會還需在兩個月內提交相關改善措施的證明文件,以證明其已遵循公署的要求。

 

公署同時警告受影響的會員應提高警惕,特別是要留意其個人銀行帳戶是否有異常交易,並建議更改登入密碼及啟用雙重認證功能。公署強烈建議企業和機構不要支付黑客贖金,不無法保證能取回被加密的資料,還會助長犯罪行為。

 

資料及圖片來源:南華會 Facebook


相關文章:
  • 10 大旅遊平台全部追蹤用戶資料 私隱專員:應先徵求用戶同意
  • 私隱專員公署攜全球 15 私隱機構發聲明 籲社交平台加強保護個人資料
  • LinkedIn:已停用港用戶資料訓練 AI 私隱專員表示歡迎

  • Published by
    Pickle Rick