洩逾11萬人私隱 銀行學會挨批

明知有保安漏洞仍讓員工居家工作 被黑客「騎劫」伺服器勒索贖金

數碼生活帶來方便，同時也埋伏不少私隱外洩的危機。香港個人資料私隱專員公署昨日公布去年工作報告，指署方去年接獲的總體投訴個案上升15%，與起底相關的投訴佔近一半。與網絡私隱相關的騙案也時有發生，報告披露，香港銀行學會網絡被提醒存在保安漏洞，但經政府電腦保安事故協調中心介入後仍未及時堵塞有關漏洞，更繼續讓員工居家工作，令黑客有機可乘，「騎劫」學會多台伺服器以換取贖金，伺服器內載有超過11萬名市民的姓名、聯絡方法、身份證和信用卡等敏感資料外洩。公署批評銀行學會在資料保安風險管理、資訊系統管理等方面存在不足。◆香港文匯報記者 郭倩

私隱專員公署昨日回顧去年工作情況及公布對香港銀行學會資料外洩的調查報告。

去年投訴3848宗 近半涉起底

香港個人資料私隱專員鍾麗玲表示，該署去年全年收到3,848宗投訴個案，按年上升15%，其中涉及起底投訴佔近半、1,764宗。她解釋，投訴個案上升與2021年打擊起底的新條文生效有關。「新例生效意味公署權力增加，加上公署通關做教育宣傳，讓市民知道什麼叫起底、知道他們的權益，所以投訴個案增加很正常。」

刑事調查114宗起底案 兩人罪成

自新例生效以來，公署共處理2,128宗起底個案，並就114宗個案展開刑事調查，其中32宗轉介警方，共拘捕12人，5人被起訴，兩人罪成。同時，公署去年共向26個平台發出1,500個停止披露通知，涉及17,703個「起底」信息，九成獲平台遵從。

對公署被指曾研究封鎖即時通訊軟件Telegram，她表示，去年有平台收到移除信息的通知後，不僅移除個別信息，更移除整個涉及起底的頻道，「如果執法有成效，就不需要考慮進一步的行動。」

網絡安全也是公署另一關注點。2019年，香港銀行學會接獲防火牆的生產商提醒有網絡保安漏洞，讓攻擊者可取得登入私有網絡的賬戶名稱和密碼，建議立即停用相關保密登入功能。之後，政府電腦保安事故協調中心也發出警告，但該學會仍未修補漏洞。

2021年底，學會6台伺服器遭勒索軟件攻擊和惡意加密，黑客威脅要支付贖金，最終導致超過1.3萬名會員及約10萬名非會員的個人資料外洩，包括姓名、聯絡資料、僱主名稱，甚至是身份證號碼、信用卡號碼、專業認證詳情及考試結果等信息。

要求銀行學會兩月內交報告

學會於去年1月向公署通報。署理首席個人資料主任（合規及查詢）郭正熙指出：「學會亦向我們承認事件發生前，他們未曾對所有連接互聯網的伺服器、應用程式或端點裝置進行漏洞掃描，所以其實什麼都沒做到，然後又說服務供應商沒有建議這樣做。」公署批評該學會資訊保安風險管理欠佳、資訊系統管理有欠妥當，以及未能及時啟用多重認證功能，已要求學會兩個月內提交報告。

另外，公署去年9月設立了「個人資料防騙熱線」，截至去年12月底，共收到168個來電。鍾麗玲透露，公署曾收到一名險墮網上情緣行騙的市民求助，「一名女士在網上認識了一名外籍男子，該男子說送禮物給她，於是她向對方提供了姓名、電話、地址等個人信息，後來收到疑似物流公司的通知，說這份禮物被扣押，需要2.8萬美元贖回。」所幸該女子認為金額過大，事有蹊蹺，故致電公署，才阻止了騙案的發生。