Skip to content

新聞稿

新闻稿 - 私隐专员公署发表有关消费者委员会资料外泄事故的调查结果

日期: 2024年5月2日

私隐专员公署发表有关消费者委员会资料外洩事故的调查结果

个人资料私隐专员公署(私隐专员公署)完成对消费者委员会(消委会)资料外洩事故的调查,并于今日发表调查结果。事件源于消委会向私隐专员公署通报资料外洩事故(该资料外洩事故),表示其伺服器遭受到勒索软件攻击。该资料外洩事故导致消委会的数据遭受未获准许的查阅,当中涉及超过450名人士的个人资料,包括投诉人、资讯科技服务供应商的员工、消委会的现职及已离职员工。
 
私隐专员公署多谢消委会在调查过程中所提供的各种资料及合作。调查结果显示一个黑客组织取得消委会一个具管理员权限的帐户凭证,随后透过虚拟私有网络进入消委会的网络,并对消委会的伺服器及端点装置进行勒索软件攻击。
 
根据调查所获得的证据,个人资料私隐专员(私隐专员)钟丽玲认为该资料外洩事故是由消委会的以下缺失所导致:
 
  1. 没有为远端存取资料启用多重认证功能,导致黑客能利用获取的帐户凭证进入消委会的网络、进行勒索软件攻击,以及查阅消委会所持有的个人资料;
  2. 没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件,导致该网络安全软件在侦测网络安全威胁后未能向消委会发送警报电邮;
  3. 欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料,导致消委会持有的289名投诉人的个人资料因人为错误或疏忽而被储存于没有配置网络安全软件的一个测试伺服器内,随后遭受黑客攻击;
  4. 资讯保安政策有欠全面及具体,未有提供全面及具体的网络保安框架或资讯科技保安检视规定及程序供员工依循;及
  5. 保障个人资料私隐及网络安全意识不足:除了因人为错误或疏忽而储存个人资料于测试伺服器外,调查亦发现一名前资讯科技部员工没有于系统设定实施消委会订定的复杂密码政策,令有关政策在事发时未有被贯彻实施。上述例子均反映了消委会的员工在保障个人资料私隐及网络安全方面意识不足。
 
基于上述原因,私隐专员钟丽玲认为消委会没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《个人资料(私隐)条例》的保障资料第 4(1)原则有关个人资料保安的规定。
 
私隐专员已向消委会送达执行通知,指示消委会纠正其违反事项,以及防止类似违规情况再次发生。
 
随着科技进步,采用资讯及通讯科技、混合工作模式及远端存取资料已成为新常态。虽然科技发展带来好处及便利,但同时亦无可避免地增加数据安全的风险。为应对网络威胁,机构应定期检视及加强其资讯系统的保安措施。私隐专员希望向使用资讯及通讯科技处理个人资料的机构作出以下建议:
 
  • 对遥距登入资讯及通讯系统使用多重身份验证,以减低资讯系统被攻击的风险;
  • 设立稳健的网络保安框架,在防范、侦测及应对网络攻击方面投放足够资源及制订有效的策略及措施,以减低被攻击的可能性及资料外洩风险;
  • 定期对资讯系统进行风险评估及保安审计;
  • 建立重视数据安全的企业文化;及
  • 建立有效的培训计划,加强员工就数据安全及个人资料私隐方面的意识及能力。
 
下载《消费者委员会资讯系统遭勒索软件攻击》报告:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_14749_c.pdf
 
私隐专员钟丽玲发表消委会资料外洩事故的调查结果。
 
私隐专员钟丽玲发表消委会资料外洩事故的调查结果。
 
私隐专员钟丽玲(左)及首席个人资料主任(合规及查询)郭正熙(右)讲解消委会资料外洩事故的调查结果。

-完-