会员数据库遭未获授权查阅 — 保障资料第4原则 — 个人资料的保安
背景
一间学会(该学会)向私隐专员公署通报,指黑客利用其外挂程式的保安漏洞,在未经授权下获得储存于网络伺服器的会员数据库之存取权限,并窃取了约1,000名会员的个人资料,包括他们的姓名、地址、电邮地址及手机号码等个人资料。
补救措施
接获该学会的通报后,私隐专员公署展开循规审查,并就《私隐条例》的相关规定向该学会提供建议。事故发生后,该学会已停用涉事的外挂程式,并停止把个人资料储存于涉事的数据库。此外,该学会检视所有外挂程式原始码及修补漏洞,并透过建立新的监察机制,监控会员数据库的数据变化。
借鉴
虽然外挂程式为资讯系统提供便利,但也带来各种资料保安风险,包括安全漏洞、恶意程式码及不当的权限管理等,而这些风险足以导致资料外泄事故发生。如机构选择在资讯系统中使用外挂程式,便应采取措施减少有关风险,包括仅从可信来源安装外挂程式、对外挂程式进行定期的更新及漏洞检测、进行有效的权限管理,并检视机构本身在资料保安方面已经采取的机构性及技术性措施是否足够对应使用外挂程式所带来的额外风险。
上载日期:2025年10月