要聞港聞

揭消委會5大缺失 私隱署:477人遭洩密

私隱署指出,消委會遭黑客入侵事件中受影響人數共477人。 私隱署指出,消委會遭黑客入侵事件中受影響人數共477人。
私隱署指出,消委會遭黑客入侵事件中受影響人數共477人。
遠端存取無多重認證 網安軟件欠妥善設定
早前消費者委員會被黑客入侵「勒索」,導致資料外洩。私隱專員公署昨發表調查結果,指今次受影響人數共477人,其姓名、手提電話號碼、住宅或電郵地址等個人資料均被洩漏。個人資料私隱專員(私隱專員)鍾麗玲指出,消委會在事件中有5大項缺失,包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定網絡安全軟件等。現時公署已向消委會送達執行通知,糾正違反事項,以防止類似違規情況再發生。
根據調查結果顯示,黑客組織ALPHV在去年9月4日獲取並利用消委會一個具管理員權限的帳戶,透過虛擬私有網絡進入消委會的網絡,隨後在9月19至20日,消委會伺服器及端點裝置遭受勒索軟件攻擊,才揭發被黑客入侵;及後在9月21日,消委會向公署通報事件。
管理帳戶被駭 未能解釋
鍾表示,今次事件受影響人士包括投訴人、資訊科技服務供應商員工、現職及已離職的消委會員工。而報告亦指出,消委會共有5項缺失,包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體,以及保障個人資料私隱及網絡安全意識不足,當中部分缺失甚至包括人為錯誤或疏忽因素。
被問及黑客組織如何取得具管理員權限的帳戶,鍾麗玲坦言相關消委會員工未能提供原因,而消委會亦「解釋唔到」,故私隱專員亦「理解唔到」。鍾又認為消委會通報處理及時,暫不會就事件對消委會作出檢控,除非消委會違反執行通知才會檢控。
送達執行通知 要求糾正
私隱專員首席個人資料主任(合規及查詢)郭正熙表示,暫時共接獲20宗相關查詢及8宗投訴;現已向消委會送達執行通知,包括要求為所有遙距存取載有個人資料的系統,實施多重身份認證;需聘請獨立資訊安全專家檢視資訊系統保安措施、定期檢視資訊系統的保安措施、制訂清晰全面的政策程序以禁止在測試伺服器內儲存個人資料等。
消委會則表示對私隱專員提出的意見深表重視,在事故發生後已積極採取即時行動糾正問題,亦正完善其資訊科技政策和工作指引,同時正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力。
第一手消息請下載on.cc東網 iPhone/ iPad/ Android/
人人做記者
爆料方法 :
爆料熱線:
(852) 3600 3600
傳 真:
(852) 3600 8800
SMS:
(852) 6500 6500
人人做記者