乐施会遭黑客入侵泄55万人资料　私隐公署调查揭未按时更新防火墙

私隐专员公署今（23日）公布乐施会去年7月资料外泄事故调查结果，当中330GB数据被黑客盗窃，涉及55万人资料，包括员工、捐款者及义工等，资料涉身份证号码、银行卡等。调查发现乐施会未有按时更新防火墙软件，致黑客利用防火墙严重漏洞进入系统，乐施会也未启用多重认证，并过长保存个人资料，其中50名顾问及35名前管治委员会成员身份证被外泄，公署裁定乐施会违反《私隐条例》，已向该会送达执行通知。

另外，私隐公署去年全年接3,431宗投诉，同比微跌4%，但资料外泄通报则同比增加3成，接到203宗，当中67宗来自公营机构。公署年内展开118宗刑事调查，并转介40宗个案予警方跟进，年内共拘捕20人。

黑客盗取330 GB乐施会资料　绝大部份资料涉捐款者

乐施会去年7月13日向私隐专员公署通报资料外泄事故，公署今公布调查结果，确认有超过330 GB的数据从乐施会的资讯系统中被窃取，涉及55万人，包括52.1万捐款者、8.8万活动参加者及7,928名义工等，外泄资料包括身份证号码、信用卡及银行卡号码等。

调查发现，黑客以暴力攻击，及利用乐施会防火墙严重漏洞进入系统，并用远端程式生成密码撞系统，执行远端程式码及指令，取得私有网络存取权限，并控制一名IT测试人员帐户，之后从外部网络透过SSL VPN连接到乐旅会资充系统，识别出存漏洞的伺服器，以取得活动目录管理员权限，横向入侵其伺服器、工作电脑等。

黑客以勒索软件将资料加密及窃取

黑客在7月10日在乐施会的资讯系统放置勒索软件“DarkHack”，导致储存在系统内的档案及资料被加密及窃取，涉及37台伺服器及24台电脑被入侵。乐施会已通知受影响人并实施各项机构性及技术性的改善措施以加强整体系统安全，从而更好地保障个人资料私隐。

防火墙无更新修补程式　错过两次严重漏洞修补

公署指出乐施会在件中有多项过失，包括用过时防火墙有严重漏洞、未启用多重认证及过长保存个人资料等，调整显示乐施会防火墙自2023年6月起再无更新修补程式，但该防火墙早在23年6月及24年2月发布严重漏洞修补程式。

调查亦显示其过长储存个人资料，除捐款者、员工、义工外，50个顾问身份证、35份前管治委员会成员身份证亦被外泄，公署裁定乐施会未采切实可行工作确保个人资料受保障及不外泄，违反《私隐条例》，已送达执行通知。

起底投诉跌32%至355宗　套取个人资料作诈骗投诉增46%

私隐专员钟丽玲又总结去年情况，称去内接3,431宗投诉，同比跌4%，起底投诉由525跌至355宗，跌32%；网上发现的起底个案也由231宗跌至87宗，大跌62%，投诉个案涉及界别多为银行金融及物管业。另接获1,158宗涉及套取个人资料作诈骗之用，同比增加46%。

她说，去年共接获203宗资泄通报，同比增30%，其中67宗涉公营机构、136宗为私营机构，学校及非牟利机构占67宗，占整体33%，较2022年升约1倍。她指整体通报事件，有61宗属黑客入侵，占30%，常见勒索软件为APT INC及Lockbit2.0及3.0。

钟续称，公署年内处理442宗起底个案，同比减42%，大多涉金钱纠纷、政见纠纷只占2.8%，公署就118宗展刑事调查，40宗个案转交警方继续跟进，全年共拘捕20人。