香港樂施會去年公布,發現有電腦系統遭網絡攻擊,受影響系統包括樂施毅行者系統。私隱專員公署完成調查並今日(23日)公布結果,指約有55萬人身份證、信用卡等敏感資料被盜,主因是樂施會過時的防火牆存在嚴重漏洞、未有啟用多重認證功能等,導致外洩事件發生,違反了《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定。
調查發現,黑客透過暴力攻擊及利用樂施會防火牆的嚴重漏洞,執行遠端程式碼及指令,以取得保密插口層虛擬私有網絡主控台的存取權限,繼而控制一個資訊科技測試人員帳戶。黑客隨後進行橫向移動,入侵樂施會的伺服器、工作電腦及手提電腦。
調查亦發現有超過330吉位元組(GB)的數據從樂施會的資訊系統中被竊取,可能受外洩事件影響的資料當事人約550,000名,包括捐款者、活動參加者、義工、項目夥伴、項目參與者、項目顧問、現職及離職僱員、求職者及管治成員。
私隱專員鍾麗玲認為,事件主因是樂施會過時的防火牆存在嚴重漏洞、未有啟用多重認證功能、沒有對伺服器進行關鍵保安修補、以及資訊系統欠缺有效的偵測措施等,認為樂施會是具規模的機構,卻沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定。
東網網站 : https://on.cc/東網Facebook專頁 : https://www.facebook.com/onccnews/