又一村花園俱樂部逾9000會員私隱遭外洩

香港文匯報訊（記者 李千尋）個人資料私隱專員公署昨日發表涉及又一村花園俱樂部資料外洩事故的調查報告。涉及俱樂部外判服務供應商使用的遠端存取軟件過時並存在保安漏洞，黑客藉此竊取供應商賬戶憑證，入侵系統並獲取會員檔案，合共9,045人的姓名、香港身份證號碼或護照號碼、出生日期、電郵地址、聯絡電話及地址等個人資料遭外洩。公署裁定俱樂部未有採取所有切實可行步驟保障個人資料，違反《個人資料（私隱）條例》相關規定，已向俱樂部送達執行通知，要求對方採取補救措施並防止再次發生，及適時更新相關軟件並定期進行保安風險評估、漏洞掃描及系統審計。

該俱樂部是一間私人非牟利的社交及康樂機構，向已登記會員及賓客提供康樂設施及餐飲服務。其管理系統負責管理會員資料，所有資料均儲存於伺服器。系統由外判供應商提供及維護，供應商並透過專用遠端存取軟件連接伺服器，以提供技術支援。俱樂部去年10月31日向公署通報，指伺服器內檔案遭勒索軟件加密致系統無法運作，令1,553名活躍會員、1,723名附屬卡持有人、1,313名前會員，以及4,456名前附屬卡持有人的個人資料遭外洩。

遠端存取及防毒軟件均過時

公署調查發現，事發時涉事遠端存取軟件已屬過時版本，並存在已知的保安漏洞，黑客藉此竊取服務供應商賬戶憑證，從而直接進入儲存大量個人資料的相關伺服器。此外，伺服器長期維持登入狀態，俱樂部卻無實施額外的身份認證措施，進一步削弱保安防護；防毒軟件及防火牆亦已過時，未能有效偵測及阻截黑客活動。相關軟件開發商早於去年1月已發出保安警報，惟服務供應商並不知悉，俱樂部及供應商亦未有就有關軟件建立保安更新或修補機制。

個人資料私隱專員鍾麗玲指出，俱樂部在事故前未有採取適當及充分的機構性及技術性資訊保安措施，以保障其資訊系統內所儲存的個人資料，令人失望。俱樂部保留888名前會員及3,321名前附屬卡持有人的個人資料逾7年，亦超出法定規定。

公署裁定俱樂部沒有採取所有切實可行的步驟，以確保涉事的個人資料受保障，亦無採取所有切實可行的步驟，以確保個人資料的保存時間不超過使用相關資料實際所需的時間，違反了《私隱條例》兩項規定。她已向俱樂部送達執行通知，指示其採取措施以糾正違規事項，以及防止類似違規情況再次發生。

需定期檢視系統保安措施成效

她指出，即使聘用資料處理者或外判供應商維護系統，資料使用者仍須承擔首要責任，採取一切切實可行步驟確保資料安全。她亦提醒所有收集和保存大量會員及客戶個人資料的機構，會員及客戶資料庫載有大量且持續更新的個人資料，易成網絡攻擊目標，甚至被非法取用。機構應採取主動策略，定期檢視系統保安措施的成效，並投放足夠資源保障會員及客戶的個人資料。

公署建議，機構加強保障載有個人資料的資訊系統，包括適時更新遠端存取軟件、防毒軟件及防火牆以修補已知漏洞；為資料存取實施有效的用戶身份認證；以及為員工提供定期資訊保安培訓等。