黑客勒索消委会｜私隐署裁消委会违例　5大缺失致450人资料外泄

消费者委员会电脑系统去年遭黑客以勒索软件恶意入侵，个人资料私隐专员公署今日（2日）发表调查报告，指事件中有450人的资料外泄，涉及有黑客组织取得消委会一个有管理员权限的帐户凭证，之后以虚拟私有网络进入消委会网络。

公署指，消委会有五大不足，包括无启用多重认证功能及欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料等，认为其无采取切实步骤确保个人资料不被泄漏，违反《私隐条例》第4原则规定（即采取一切切实可行的步骤，保障个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用。）私隐专员钟丽玲指已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。

私隐专员公署调查发现该黑客组织取得消委会一个具管理员权限的帐户凭证，随后透过虚拟私有网络（VPN）进入消委会的网络，并对消委会的伺服器及端点装置进行勒索软件攻击，导致消委会的93个系统遭到恶意加密，11个伺服器及端点装置被黑客入侵。

涉450名人个人资料　包括289投诉人及100多名现职及离职员工

网络安全专家亦确实，事故中有四个载有个人资料的档案遭受未获准许的查阅，涉及超过450名人士的个人资料，包括289名投诉人、26名资讯科技服务供应商的员工、162名消委会的现职及已离职员工。

▼2023年9月22日　消委会交代电脑系统被黑客入侵及勒索事件▼

钟丽玲：消委会欠缺足够保安措施禁止或防止测试伺服器内存个人资料

根据调查所获证据，钟丽玲认为消委会有五大缺失致事故，包括没有为远端存取资料启用多重认证功能，导致黑客能利用获取的帐户凭证进人消委会的网络、进行勒索软件攻击，以及查阅消委会所持有的个人资料；消委会亦没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件，导致该网络安全软件在侦测网络安全威胁后未能向消委会发送警报电邮。

消委会亦欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料，导致消委会持有的289 名投诉人的个人资料因人为错误或疏忽而被储存于没有配置网络安全软件的一个测试伺服器内，随后遭受黑客攻击。

没有资讯科技保安检视规定及程序供员工依循

此外，消委会在资讯保安政策亦有欠全面及具体，未有提供全面及具体的网络保安框架或资讯科技保安检视规定及程序供员工依循。

钟丽玲亦指，消委会在保障个人资料私隐及网络安全意识不足，因除了因人为错误或疏忽而储存个人资料于测试伺服器外，调查亦发现一名前资讯科技部员工没有于系统设定实施消委会订定的复杂密码政策，令有关政策在事发时未有被贯彻实施。

调查多次提及消委会资讯科技部门缺失，私钟丽玲表示，消委会有解释部份保安措施未能落实是因为部门人手不足，而当中未能设多重认证则因需在员工软件到加另一软件而受到阻力。她又提到，黑客取得的具管理员权限的帐户凭证为资讯科技部门，惟该员工亦不何外泄的原因。她呼吁，为保证数据安全，不论大小企业“都唔好悭钱”，投放适当资源在资讯系统，特别是客户的个人资料。

公署共接获20宗查询及8宗投诉

公署在此次事件中接获20宗查询及8宗投诉，钟丽玲表示，希望今次事件可以有警示作用，特别是此些缺失都为无需用很多资源已可以弥补。至于相关资料是否已外泄在“禁网”，她则指，在网络世界“今日无唔代表听日无，听日无唔代表后日无”，又强烈建议机构遇上被黑客勒索，千万不要给赎金，因为即使比了钱亦不代表个人资料可以取还。

个人资料私隐专员公署列消委会五大缺失：
1/没有为远端存取资料启用多重认证功能
2/没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件
3/欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料
4/资讯保安政策有欠全面及具体
5/保障个人资料私隐及网络安全意识不足

私隐公署发7项执行指令要求消委会两个月内执行

钟丽玲认为，消委会违反了 《私隐条例》第4原则中有关个人资料保安的规定，确保其持有个人资料受保障而不受未获准许或意外泄漏，被查阅、处理及删除等。私隐专员公署向消委会发出7项执行指令，要求两个月内、即6月29日须提交证据证明已执行，否则属违法，公署会跟进。