◆圖為入侵消委會網絡的黑客組織ALPHV在炫耀過去攻擊海外醫療機構的「戰績」。網上圖片
◆去年9月20日消委會網絡遭ALPHV入侵。 消委會網站截圖
◆私隱專員揭露消委會在網安方面存在五大不足。香港文匯報記者曾興偉 攝

私隱專員揭五大缺失 猶如「裝鎖不上鎖」任黑客自出自入

香港消費者委員會的電腦系統去年9月被黑客攻擊並遭勒索,個人資料私隱專員公署昨日發表調查報告,指此次事件中,超過450人的個人資料外洩,包括投訴人、資訊科技服務供應商的員工以及消委會現職及已離職的員工。公署批評消委會存在五大不足,包括疫情期間容許員工居家工作,卻沒有為遠端存取資料庫啟動「多重認證」功能,導致黑客能取得賬戶憑證後,輕易進入網絡。該會雖然已安裝網絡安全軟件,但竟沒有開啟軟件,「猶如有安裝門鎖卻沒有上鎖」,導致系統未能偵測及攔截,黑客自出自入網絡系統逾兩周才發現。專家提醒,居家工作漸普遍,不少香港企業機構容易出現網絡漏洞,對網絡安全需提高警惕(見另稿)。◆香港文匯報記者 吳健怡

黑客組織ALPHV去年9月4日獲取並利用消委會一個具管理員權限的賬戶,透過虛擬私有網絡(VPN)進入消委會的網絡,導致消委會的93個系統遭到惡意加密,11個伺服器及端點裝置被黑客入侵,其間警報系統一直沒有發出警示。

同年9月20日,消委會發現其伺服器及端點裝置遭受勒索軟件攻擊;及後在9月21日,消委會向公署通報事件。

參與調查的網絡安全專家證實,事件涉及的數據少於1.5GB,4個載有個人資料的檔案遭受未獲准許的查閱,涉及超過450人的個人資料:包括投訴人(289人)、資訊科技服務供應商的員工(26人)、消委會的現職(138人)及已離職員工(24人)。資料包括姓名、手提電話號碼、住宅或通訊地址、電郵地址、收入範圍等。

私隱專員鍾麗玲指出消委會有五大缺失導致事故,其中最大原因是消委會沒有為遠端存取資料啟用多重認證功能,導致黑客能利用獲取的賬戶憑證進入消委會的網絡、進行勒索軟件攻擊。

她指出,由於消委會2020年11月疫情期間為方便員工在家工作,容許員工透過VPN連接消委會網絡,而未有啟用多重認證核實身份,直到2022年取消居家工作安排,仍允許員工在沒有多重認證功能的情況下進行遠端連接消委會的網絡,事發後始暫停該安排。

冇開安全軟件雞蛋同放一籃

鍾麗玲指出,消委會另一缺失是沒有妥善設定用作偵測及攔截網路安全威脅的網路安全軟體,雖然消委會早於2020年5月已安裝網絡安全軟件,卻未有啟動該軟件的警報功能,令該網絡安全軟件未能在檢測到網絡安全威脅後發出警報電郵。

她又指,導致今次事件的另一個主要成因,為消委會欠缺足夠保安措施禁止或防止於測試伺服器內儲存真實的個人資料。

她表示,有289名投訴人的個人資料因人為錯誤或疏忽,自2023年6月起被儲存在沒有配置網絡安全軟件的測試伺服器內,「一般來說,考慮到測試伺服器保安措施一般都比較薄弱,我們認為機構不應將真實個人資料儲存在測試的伺服器內。」

調查亦發現一名前資訊科技部員工沒有於系統設定複雜密碼政策,令有關政策在事發時未有被貫徹實施。

未明黑客如何奪管理員權限

至於黑客是如何取得具管理員權限的賬戶?鍾麗玲坦言,相關員工及消委會亦「解釋唔到」,故私隱專員亦「理解唔到」。

鍾麗玲批評,消委會在保障個人資料及網絡安全意識不足,亦欠缺全面和具體的資訊保安政策,沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反《個人資料(私隱)條例》第4(1)原則。

私隱專員公署首席個人資料主任(合規及查詢)郭正熙表示,暫時共接獲20宗相關查詢及8宗投訴,向消委會發出7項執行指令,包括要求為所有遙距存取載有個人資料的系統實施多重身份認證、聘請獨立資訊安全專家檢視資訊系統保安措施、定期檢視資訊系統的保安措施、制訂清晰全面的政策,以禁止在測試伺服器內儲存個人資料等。他續指,現已向消委會送達執行通知,指示糾正其違反事項,要求兩個月內、即6月29日須提交證據證明已執行,否則屬違法,公署會跟進。由於消委會通報處理及時,暫不會就事件作出檢控。

黑客入侵、勒索消委會經過

2020年5月起 消委會使用網絡安全軟件,以偵測及攔截網絡安全威脅,遇有襲擊會向消委會發出警報。但是消委會沒有啟動以及妥善設定該網絡安全軟件,導致軟件未有發揮偵測及攔截作用。

2020年11月 消委會實施居家工作安排,允許員工透過VPN遠端連接消委會的網絡,但是考慮到員工對採用多重認證功能的阻力及資訊部人手不足,未有為遠端存取資料啟用多重認證功能,以核實授權才可遠端登入消委會網絡。

2022年5月 消委會取消居家工作安排,但仍允許員工在沒有多重認證情況下,遠端連接消委會的網絡。

2023年6月起 有289名投訴的個人資料,因人為錯誤或疏忽,被儲存於沒有配置網絡安全軟件的一個測試伺服器內,以及未有於系統內設定一個複雜密碼。

2023年9月4日 黑客組織ALPHV獲取並利用消委會一個具管理員權限的賬戶,透過虛擬私有網絡(VPN)進入消委會的網絡。

2023年9月19日及20日 消委會伺服器及端點裝置遭受到勒索軟件攻擊。

2023年9月21日 消委會向公署通報該事件。

資料來源:個人資料私隱專員公署

整理:香港文匯報記者 吳健怡

消委會五大缺失

1.沒有為遠端存取資料啟用多重認證功能

2.沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件

3.欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料

4.資訊保安政策有欠全面及具體

5.保障個人資料私隱及網絡安全意識不足

資料來源:個人資料私隱專員公署

整理:香港文匯報記者 吳健怡