洩4.5萬人私隱揭流弊 桂冠論壇芭蕾舞團違例

桂冠論壇的網絡於去年9月26日遭黑客入侵，經調查確認有8,122人受影響，當中包括約920名青年科學家申請人及邵逸夫獎得獎者等人士的姓名、地址、護照資料、銀行戶口/信用卡資料等外洩，另有約7,200名電子通訊訂閱戶的姓名及電郵地址受影響。

公署發現，黑客透過暴力攻擊取得桂冠論壇一個具系統管理員權限的帳戶憑證，再利用該帳戶通過防火牆成功進入伺服器，並放置勒索軟件「Elbie」，導致儲存在桂冠論壇的一組伺服器及7個端點裝置的檔案被加密。同時，存放於另一組伺服器的備份數據亦遭黑客毀壞。

公署指出，桂冠論壇的防火牆已過時並存在多項嚴重漏洞，防毒軟件的病毒數據庫自2019年起不曾更新，亦不曾為資訊系統進行保安審計及漏洞評估。同時，桂冠未有將原始數據及備份數據存放於不同網絡，導致備份數據在外洩事件中遭黑客毀壞，無法進行數據復原。公署最終裁定桂冠論壇違反《私隱條例》有關個人資料保安的規定。

此外，香港芭蕾舞團的網絡去年9月15日遭黑客入侵，由於芭蕾舞團無法確認受影響檔案內的資料，估算受影響人士的數目達37,840名，包括芭蕾舞團的僱員、求職者及門票訂購者等，涉及的個人資料包括姓名、地址、香港身份證號碼、銀行戶口號碼及/或信用卡號碼等。公署發現，芭蕾舞團的伺服器運作軟件已過時，並存在多項嚴重的遠端程式碼執行漏洞，惟舞團沒任何關於保安修補或更新其伺服器的政策或程序。公署認為芭蕾舞團在定期保安修補及更新方面的明顯缺失，裁定違反《私隱條例》有關個人資料保安的規定。

公署表示，明白中小企以及非牟利組織投放於網絡安全方面的資源或許有限，惟隨着機構的資訊系統數碼化，全球的網絡攻擊和資料外洩事故亦有上升趨勢。私隱專員鍾麗玲提醒，不論機構大小都不宜掉以輕心，應加強網絡保安及數據安全，包括定期更新軟件、為員工提供適當培訓等，以抵禦惡意攻擊，保障所持有的個人資料。