私隱專員公署今日(23日)公布樂施會資料外洩事故的調查結果,外洩事故有37台伺服器及24台工作電腦/手機電腦被入侵,有330GB數據被竊取,約55萬人資料遭外洩,包括捐款者、活動參加者、義工、項目夥伴、項目參與者、項目顧問、現職及離職僱員、求職者及管治成員。涉及的個人資料包括姓名、配偶姓名、香港身份證號碼/副本、護照號碼/副本、出生日期、電話號碼、電郵地址、地址、信用卡號碼及銀行帳戶號碼。
樂施會於去年7月13日向私隱專員公署通報資料外洩事故,表示樂施會遭受勒索軟件攻擊,其資訊系統因而受到影響。
調查發現多項原因致資料外洩
鍾麗玲指,經調查發現樂施會的以下缺失是導致外洩事件發生的主因,包括過時的防火牆存在嚴重漏洞;未有啟用多重認證功能;沒有對伺服器進行關鍵保安修補;資訊系統欠缺有效的偵測措施;對資訊系統進行的保安評估不足;資訊保安政策有欠具體;及過長地保存個人資料。
鍾麗玲認為樂施會是一間具規模機構,恆常地持有並處理大量不同人士的個人資料,惟於事發前未有採取足夠及有效的措施以保障其資訊系統的安全,亦未有制訂有效的機制適時地銷毀超過保存期限的個人資料,以致發生大規模的資料外洩事故,情況令人遺憾。
未對防火牆進行修補 長達7年保存個人資料
私隱公署首席個人資料主任(合規及查詢)郭正熙表示,涉事防火牆存在的兩項嚴重漏洞的修補程式已分別於2023年6月及2024年2月發布,惟樂施會自2023年6月後未對涉事防火牆進行任何修補或更新,令黑客有機可乘。此外,樂施會亦沒有對存在嚴重漏洞的四台名稱伺服器進行關鍵保安修補。
他亦指,樂施會過長保存個人資料,包括7年前舉辦的活動約4,000項參加者的個人資料(包括姓名、地址、電話號碼及/或電郵地址);在2021 至2024年間樂施會項目600項落選者的個人資料(包括姓名、出生日期、電話號碼及電郵地址);50項與顧問的香港身份證號碼及履歷有關的個人資料,這些顧問的個人資料在完成向樂施會提供顧問服務超過7年仍被保存;及35份前管治委員會成員的香港身份證或護照副本。
裁定樂施會違兩項《私隱條例》規定
私隱專員裁定樂施會違反了《私隱條例》的保障資料第4(1)及第2(2)原則。公署已向樂施會送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
記者:郭穎彤
