港樂施會資料外泄涉55萬人個資 過時防火牆為主因 | 聯合早報

香港樂施會去年發生資料外泄事故，導致55萬人個資被外泄，調查指過時防火牆存在嚴重漏洞是主要原因。

綜合香港《明報》和網媒“香港01”報道，香港樂施會去年7月13日向私隱專員公署通報資料外泄事故，指樂施會遭勒索軟件攻擊，資訊系統因而受到影響。

香港私隱專員公署星期四（1月23日）公佈樂施會資料外泄事故的調查結果，指出共有37台服務器及24台工作電腦／手機電腦被入侵，330GB數據被竊取，約55萬人資料外泄。

此次外泄事件涉及捐款者、活動參加者、義工、項目夥伴、項目參與者、項目顧問、現職及離職僱員、求職者及管治成員的個人資料，包括姓名、身份證號碼／副本、護照號碼／副本、出生日期、電話號碼、電郵地址、信用卡號碼及銀行賬户號碼等。

私隱專員鍾麗玲指出，經調查發現外泄事件發生的主因包括：過時防火牆存在嚴重漏洞、未啓用多重認證功能、沒有對服務器進行關鍵保安修補、資訊系統欠缺有效偵測措施、過長保存個人資料等。

私隱公署首席個人資料主任郭正熙指出，樂施會防火牆的兩項嚴重漏洞的修補程序已分別於2023年6月及2024年2月發佈，但樂施會自2023年6月以來，沒有對防火牆進行任何修補或更新，令黑客有機可乘。

他還説，樂施會過長保存個人資料，七年前參與樂施會活動的約4000名參與者的個人資料，以及七年前已卸下職務的50名顧問身份證號碼及履歷等資料都被保存至今。

鍾麗玲認為，樂施會是一個大規模機構，但該組織事發前未採取足夠及有效措施保障資訊系統安全，也未制訂有效機制適時銷燬超過保存期限的個人資料，導致外泄事件發生，令人遺憾。

私隱專員裁定樂施會已違反《私隱條例》，並向樂施會送達執行通知，指示採取措施以糾正違規事項，防止類似違規情況再次發生。