桂冠论坛及港芭蕾舞团资料外泄　私隐署裁定违私隐例已发执行通知

香港桂冠论坛及香港芭蕾舞团电脑系统去年先后被黑客入侵，泄露大量包括身份证号码、银行户口等个人资料。私隐专员公署发布调查结果，指桂冠论坛事件约8,122人受影响，芭蕾舞团则多达37,840人受影响，认为两机构均对对服务供应商采取的资料保安措施缺乏监察，又指桂冠论坛资讯系统管理有欠缺，防毒软件病毒资料库自2019年起无更新等；芭蕾舞团使用的伺服器运作软件则已过时，而伺服器服务供应商进行系统迁移过程中也被不必要地曝露于互联网等。

私隐专员钟丽玲裁定上述两机构均没有采取所有切实可行的步骤以确保涉事的个人资料受保障，违反了《私隐条例》规定，已送达执行通知，指示其采取措施纠正。

私隐公署指，桂冠论坛去年9月27日通报电脑系统遭黑客攻击导致资料外泄事故，黑客透过暴力攻击取得桂冠论坛一个具系统管理员权限的帐户凭证，利用该帐户通过防火墙的虚拟私有网络区域成功进入桂冠的伺服器。黑客随后于该论坛网络内进行横向移动及放置勒索软件“Elbie”，导致储存在桂冠论坛的一组伺服器及七个端点装置的档案被加密。

公署称，论坛存放于另一组伺服器的备份数据遭黑客毁坏，共8,122人受影响，包括约7,200名电子通讯订阅户的姓名及电邮地址受影响，及约 920名青年科学家申请人、邵逸夫奖得奖者及其随行人员、论坛大使/活动助理申请人、本地科学家及讲者、现职及前雇员等，其姓名、地址、电邮地址、电话号码、护照资料、完整，或部分护照或香港身份证号码、银行户口及信用卡资等被泄露。

公署调查认为桂冠论坛资讯系统管理欠妥善，包括其防火墙的韧体已过时并存在多项严重漏洞，防毒软件的病毒资料库自2019年起不曾更新；也没有为远端存取资料启用多重认证功能核实用户身分、对服务供应商采取的资料保安措施缺乏监察、欠缺资讯保安政策及指引及缺乏适当的数据备份方案。

至于香港芭蕾舞团则于去年10月16日通报遭黑客入侵，导致其资讯系统的四组实体伺服器受影响，由于当时芭蕾舞团的一组伺服器的运作软件已属过时，黑客遂利用该伺服器的漏洞成功进入芭蕾舞团网络，随后透过各种恶意工具及程式，包括转储凭证工具及远端存取工具，在取得资讯科技管理员及用户的帐户密码后，进而获取了与芭蕾舞团的网络的相关资料及与网络连接的电脑的详情，并在其网络内进行横向移动。

黑客于去年9月17日利用一个系统管理员帐户，放置勒索软件“LockBit”，导致储存在芭蕾舞团资讯系统内的档案被加密，并窃取了系统内的资料及档案。芭蕾舞团无法确实受影响档案内的资料，但估算受影响人士数目可能为37,840 名，包括芭蕾舞团的雇员、求职者、门票订购者、客席艺术家及赞助者等，涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、电话号码、健康资料、银行户口号码及信用卡号码等。

私隐专员钟丽玲裁定上述两机构均没有采取所有切实可行的步骤以确保涉事的个人资料受保障，违反了《私隐条例》规定，已送达执行通知，指示其采取措施纠正。她提醒机构面对与日俱增的网络安全威胁，不论机构大小，都不宜掉以轻心，应加强网络保安及数据安全以抵御恶意攻击，从而保障所持有的个人资料。