南华会外泄7万会员资料　私隐署揭侦测失效　黑客潜伏伺服器两年

南华体育会的电脑伺服器今年3月遭黑客入侵，私隐专员公署完成调查后今日（22日）公布结果，确认有72,315名南华会会员的个人资料遭外泄，包括香港身份证号码和地址等。
公署调查揭示，黑客早于事发两年前潜伏于南华会伺服器，但南华会的保安系统未能成功侦测；黑客其后攻击入侵时，曾作出逾4万次错误登入尝试，但系统亦未有阻止。公署裁定南华会没有采取所有切实可行的步骤，以确保涉事的个人资料受保障，违反了相关条例，已指示他们采取7项措施以纠正违规事项。

公署指，早在2022年1月，黑客已在南华会一台与互联网连线的伺服器安装了恶意程式，延至今年3月，黑客透过该恶意程式入侵南华会的互联网，安装远端控制软件，随即透过“远端存取”，对南华会电脑系统展开暴力攻击及其他恶意活动，最终透过一款属俄罗斯黑客组织Trigona变种的勒索软件，将载有会员个人资料的档案加密。黑客曾要求南华会支付赎金，为已被加密的档案解锁。

事件导致72,315名会员的个人资料遭外泄，涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期、地址、电邮地址、电话号码及紧急联络人的姓名及电话号码。

黑客逾4万次尝试登入失败　南华会保安系统未阻止

钟丽玲认为，南华会有六项缺失，导致外泄事件发生，包括资料系统欠缺有效的侦测措施。钟丽玲指，南华会伺服器早在2022年1月已遭黑客入侵，但当时南华会的侦测措施未能识别相关的恶意活动。而在今年3月15至16日期间，黑客利用暴力攻击合共向南华会伺服器的管理员帐户作超过43,400次的登入尝试，但南华会当时未有启用“密码尝试失败”的锁定功能，导致黑客能不断攻击。

钟丽玲裁定，南华会在外泄事件发生前未有采取所有切实可行的步骤，以确保涉事的个人资料受保障，违反了《私隐条例》保障资料第4(1)原则中有关个人资料保安的规定。公署已指示他们采取7项措施以纠正违规事项，包括需聘请独立的资讯保安专家，为载有个人资料的系统每年做最少一次的风险评估及保安审计，并需向私隐专员提供证明文件。

南华会外泄资料　私隐署揭6宗罪：

1.伺服器意外地曝露于互联网，导致电脑系统遭受互联网攻击风险大幅增加，最终黑客透过相关伺服器作为踏板，入侵并进行勒索软件攻击；

2.资讯系统欠缺有效侦测措施，致未能识别黑客早于2022年1月的恶意活动，让黑客随后于2024年3月透过潜伏在相关伺服器内的恶意程式入侵其互联网、遥距控制受入侵的电脑、设立具有管理员许可权的帐户、停用了安装在相关伺服器内的防毒及反恶意软件的功能；

3.没有为管理员帐户启用多重认证功能，导致黑客无须经过其他身分核实程序便可进入相关伺服器的作业系统；

4.欠缺资讯保安政策及指引，因而未能提供全面及具体的资讯系统保安检视规定及程序供员工依循；

5.没有定期进行风险评估及保安审计，以检视保安措施的成效；

6.欠缺离线资料备份方案，导致会员备份资料在外泄事件中同时被黑客加密，增加资料复原难度。