【獨媒報導】消委會去年9月遭黑客入侵電腦系統,個人資料私隱專員公署完成調查,指導致逾450人的個人資料外洩,包括投訴人、資訊科技服務供應商員工、消委會現職及已離職員工。公署指消委會涉及五項缺失,包括沒有為資料啟用多重認證,已向消委會發出執行通知,在兩個月內聘請資訊安全專家,檢視現時的系統和加強網絡保安措施,兼提交文件證明已完成要求。私隱專員鍾麗玲批評,消委會保障個人資料及網絡安全意識不足。
今次事件源於黑客組織ALPHV,在去年9月4日取得消委會一個具有管理權限的帳戶憑證的的帳戶,透過虛擬私有網絡進入消委會的網絡,攻擊伺服器和端點裝置。消委會的伺服器及端點裝置在9月19至20日,遭受勒索軟件攻擊,93個系統遭惡意加密,11個伺服器及端點裝置被黑客入侵。消委會在事故發生後即21日,向私隱專員公署通報。
鍾麗玲
離職員工資料同外洩 公署:消委會涉五項缺失
今次事件涉及的數據少於1.5GB,但就令450名人士的資料外洩,當中包括289名投訴人,其姓名、手提電話號碼、住宅或通訊地址、電郵地址、收入範圍、年齡範圍及或投訴性質及簡要;26名資訊科技服務供應商員工,涉及姓名、職銜、電郵地址、公司電話號碼及或手提電話號碼;138名現職及24名已離職的消委會員工,涉及其姓名、所屬部門名稱、公司電話號碼及或職銜。
私隱專員公署今日舉行記者會交代詳情,指今次資料外洩事故源於消委會五項缺失,包括沒有為遠端存取資料啟用多重認證功能,及沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件,並欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料;資訊保安政策亦有欠全面及具體,而保障個人資料私隱及網絡安全意識不足。
遠端存取資料沒啟用多重認證功能 取消在家工作後仍持續
在報告中,私隱專員公署指消委會沒有為遠端存取資料啟用多重認證功能,是導致今次事件的主因。公署在調查後發現,消委會在新冠疫情即2020年11月,實施在家工作安排期間,允許員工透過虛擬私有網絡遠端存取網絡,但當時就未有啟用多重認證功能,原因是考慮到員工對採用多重認證功能的阻力,及資訊科技部人手不足以在不影響運作的情況下,為所有員工安裝相關程式。
不過至2022年5月,即消委會取消在家工作安排後,仍允許員工在沒有多重認證功能的情況下進行遠端連接消委會的網絡,至事發後始暫停該安排。
今次事件的另一成因則是欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料,公署指289名投訴人的個人資料因人為錯誤或疏忽,自2023年6月起被儲存在沒有配置網絡安全軟件的測試伺服器內。消委會就解釋,無意在測試伺服器內儲存個人資料,又指其當時沒有書面政策禁止或防止員工該做法。
已向消委會發出執行動知 禁止測試伺服器內儲存個人資料
另外,今次調查亦發現,消委會一名前資訊科技部員工沒有在系統設定實施訂定的複雜密碼政策。在記者會上,鍾麗玲批評消委會保障個人資料及網絡安全意識不足,亦沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反《個人資料(私隱)條例》。
公署已向消委會發出執行動知,要求為所有遙距存取載有個人資料的系統實施多重身分認證,並定期檢視遙距存取的權限,及聘請獨立資訊安全專家檢視資訊保安措施,兼作定期檢視,另要制訂清晰及全面政策及程序,並禁止在測試伺服器內儲存個人資料,加強數據安全及資料保護培訓,在兩個月內公署提交文件證明已完成要求。
黑客如何取帳戶憑證? 鍾麗玲:消委會都解釋唔到
被問到黑客如何取得消委會管理員權限的帳戶憑證,鍾麗玲指出,公署及網絡安全專家均循該方向調查,但消委會該名資訊科技的員工未能提供確實原因:「我哋亦都唔能夠理解,點解用戶憑證會被黑客攞咗,呢個消委會亦都解釋唔到。」
記者關注本港接連有機構網絡系統遭黑客入侵,鍾麗玲就指出,資料外洩已是全球性情況,亦無可避免會增多,因為個人資料有價有市,提醒企業及機構不要慳錢,應投放適當資源保護資料系統,尤其是客戶的個人資料,及發生資料外洩後,不要向黑客交付贖金。
消委會:未發現受影響的資料被公開 再次強烈譴責黑客
在記者會期間,消委會發新聞稿回應,稱一向十分重視網絡安全和採取不同措施提升系統保安,在遭黑客入侵後,在委員會的指導和監察下,已採取一系列應對行動,及進一步加強系統保安措施。
消委會指出,受影響的個人資料非常有限,調查亦未能確定相關資料是否被下載,但根據外聘的暗網監察服務商的資料,至目前為止未有發現任何受影響的消委會資料被公開。此外,消委會再次強烈譴責黑客,在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響的人士深表歉意。