南華會7.2萬會員資料被外洩　私隱公署：涉6缺失促糾正

私隱專員公署完成對南華體育會資料外洩事故的調查。私隱專員鍾麗玲在調查報告指，南華會對保障會員個人資料的意識薄弱，裁定南華會違反《個人資料私隱條例》。

Trigoma變種勒索軟件

調查結果指，早於2022年1月南華會其中1台與互聯網連接的伺服器內已被安裝惡意程式，直到今年3月，黑客透過該惡意程式入侵南華會網絡，安裝遠端控制軟件並停用有關防毒及反惡意軟件。後對電腦系統展開暴力攻擊，對管理員帳號進行43,400次登入嘗試，最終將載有會員個人資料的檔案加密，涉及72,315名會員的個人資料，包括姓名、香港身份證號碼、護照號碼等。

有關的勒索軟件屬Trigoma的變種，外洩事件導致南華會共8台伺服器、1台數據儲存器及18台電腦遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金，為已被加密的檔案解鎖。

已送達執行通知

報告指南華會在事件中有6項缺失，包括伺服器被意外地曝露於互聯網，資訊系統欠缺有效的偵測措施，沒有為管理員帳戶啟用多重認證功能，欠缺資訊保安政策及指引，沒有定期進行風險評估及保安審計，亦欠缺離線數據備份方案。對此公署已向南華會送達執行通知，要求糾正，例如定期離線備份、聘請獨立專家等。

原文刊登於 AM730

睇完新聞，記得追蹤am730以下平台，接收最新、最啱你嘅消息！
Facebook：am730 (https://www.facebook.com/am730hk)
Instagram：am730hk (https://www.instagram.com/am730hk/)
YouTube：am730 (https://www.youtube.com/c/am730video)