Skip to content

新聞稿

私隐专员发表资料外泄事故的调查结果 (一)香港桂冠论坛委员会及(二)香港芭蕾舞团有限公司

日期: 2024年8月8日

私隐专员发表资料外洩事故的调查结果
(一)香港桂冠论坛委员会及(二)香港芭蕾舞团有限公司

个人资料私隐专员公署(私隐专员公署)完成对香港桂冠论坛委员会(桂冠论坛)及香港芭蕾舞团有限公司(芭蕾舞团)资料外洩事故的调查,并于今日发表调查结果。

(一)桂冠论坛的资讯系统遭勒索软件攻击 

调查源于桂冠论坛于2023年9月27日向私隐专员公署通报资料外洩事故,表示桂冠论坛的电脑系统及档案伺服器遭受勒索软件攻击(桂冠论坛外洩事件)。
 
调查发现桂冠论坛的网络最初于2023年9月26日遭黑客入侵。黑客透过暴力攻击取得桂冠论坛一个具系统管理员权限的帐户(该帐户)凭证,并利用该帐户通过防火墙的虚拟私有网络区域成功进入桂冠的伺服器。黑客随后于桂冠论坛的网络内进行横向移动及放置勒索软件「Elbie」,导致储存在桂冠论坛的一组伺服器及七个端点装置的档案被加密。同时,存放于另一组伺服器的备份数据亦遭黑客毁坏。
 
受桂冠论坛外洩事件影响的人士数目为8,122名,包括约7,200名电子通讯订阅户的姓名及电邮地址受影响,另外约920名的受影响人士包括青年科学家申请人、邵逸夫奖得奖者及其随行人员、论坛大使/活动助理申请人、本地科学家及讲者、评审员、活动助理,以及桂冠论坛的现职僱员、前僱员及委员。涉及的个人资料包括姓名、地址、电邮地址、电话号码、护照资料、完整及/或部分护照/香港身份证号码、银行户口/信用卡资料、出生日期、国籍/出生地、履历表/成绩单、关联机构及/或学历背景。
 
桂冠论坛在外洩事件发生后采取了多项机构性和技术性的改善措施,包括重新订定防火墙规则,进行全面的帐户审计及制定严格的密码政策等,以提升整体系统保安以保障个人资料私隐。
 
经考虑外洩事件的情况及调查所获得的资料,个人资料私隐专员(私隐专员)钟丽玲认为桂冠论坛的以下缺失是导致外洩事件发生的主因:─
  1. 资讯系统管理有欠妥善,包括其防火墙的韧体已过时并存在多项严重漏洞、防毒软件的病毒资料库自2019年起不曾更新、没有为远端存取资料启用多重认证功能核实用户身分、没有制定密码政策、没有采用网络分段或设置内部防火墙规则,亦不曾为资讯系统进行保安审计及漏洞评估等;
  2. 对服务供应商采取的资料保安措施缺乏监察,以确保服务供应商履行已签订的合同要求适时更新软件及安装修补程式,导致桂冠论坛在外洩事件发生后才发现其防火墙使用已过时的韧体并存在多项严重漏洞,而防毒软件的病毒资料库亦已过时;
  3. 欠缺资讯保安政策及指引,令员工及服务供应商未能清楚了解他们在网络保安框架下的责任及需实施的安全规程;及
  4. 缺乏适当的数据备份方案,未有将原始数据及备份数据存放于不同网络,导致备份数据在外洩事件中遭黑客毁坏,无法进行数据复原。
基于上述原因,私隐专员钟丽玲裁定桂冠论坛没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《个人资料(私隐)条例》(《私隐条例》)的保障资料第 4(1)原则有关个人资料保安的规定。
 
私隐专员已向桂冠论坛送达执行通知,指示其采取措施以纠正违事项,以及防止类似违规情况再次发生。

(二)芭蕾舞团的伺服器遭勒索软件攻击
 
调查源于芭蕾舞团于2023年10月16日向私隐专员公署通报资料外洩事故,表示芭蕾舞团于2023年9月29日遭受勒索软件攻击,导致其资讯系统的四组实体伺服器受影响(芭蕾舞团外洩事件)。
 
调查发现芭蕾舞团的网络最初于2023年9月15日遭黑客入侵。由于当时芭蕾舞团的一组伺服器的运作软件已属过时,黑客遂利用该伺服器的漏洞,成功进入芭蕾舞团的网络。黑客随后透过各种恶意工具及程式,包括转储凭证工具及远端存取工具,在取得资讯科技管理员及用户的帐户密码后,进而获取了与芭蕾舞团的网络的相关资料及与网络连接的电脑的详情,并在其网络内进行横向移动。
 
黑客于2023年9月17日利用一个系统管理员帐户,放置勒索软件「LockBit」,导致储存在芭蕾舞团资讯系统内的档案被加密,黑客并窃取了系统内的资料及档案。
 
调查亦发现,芭蕾舞团无法确实受影响档案内的资料。根据芭蕾舞团的估算,受外洩事件影响的人士数目可能为37,840名,包括芭蕾舞团的僱员、求职者、门票订购者、客席艺术家、活动参加者、捐款者、赞助者及供应商。涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期、地址、电邮地址、电话号码、健康资料、银行户口号码及/或信用卡号码(不包含安全码)、僱佣资料及学历资料。
 
在芭蕾舞团外洩事件发生后,芭蕾舞团已采取多项机构性和技术性的改善措施,包括重新部署网路基础设施使其符合安全设计原则,及更新与网络安全有关的政策,以提升整体系统保安以保障个人资料私隐,并已委聘网络安全专家就有关资讯系统保安提供建议,以符合最新的网络安全标准。
 
经考虑外洩事件的情况及调查所获得的资料,私隐专员钟丽玲认为芭蕾舞团的以下缺失是导致外洩事件发生的主因:─
  1. 相关伺服器的运作已过时,并存在多项严重的远端程式码执行漏洞,而芭蕾舞团没有任何关于保安修补或更新其伺服器的政策或程序,这突显了芭蕾舞团在定期保安修补及更新方面的明显缺失;
  2. 相关伺服器在服务供应商进行系统迁移过程中被不必要地曝露于互联网,大幅增加遭受网络攻击的风险,亦使相关伺服器在外洩事件中遭黑客利用;
  3. 对服务供应商采取的资料保安措施缺乏监察,以确保服务供应商对系统作出适时更新,并对资讯系统实施足够的保安措施以保障储存在内的个人资料,而与服务供应商签订的服务合约中,亦没有关于资料保安方面的要求;及
  4. 没有对资讯系统进行保安评估及保安审计,导致芭蕾舞团未能适时识别相关伺服器的漏洞,亦增加了资讯系统受到攻击的风险。
基于上述原因,私隐专员钟丽玲裁定芭蕾舞团没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例的保障资料第 4(1)原则有关个人资料保安的规定。
 
私隐专员已向芭蕾舞团送达执行通知,指示其采取措施以纠正违事项,以及防止类似违规情况再次发生。
 
私隐专员公署明白中小企以及非牟利组织投放于网络安全方面的资源或许有限,惟随着机构的资讯系统数码化,全球的网络攻击和资料外洩事故亦有上升趋势,私隐专员钟丽玲提醒机构:「面对与日俱增的网络安全威胁,不论机构大小,都不宜掉以轻心,应加强网络保安及数据安全以抵御恶意攻击,从而保障所持有的个人资料。」
 
私隐专员建议机构应采取合适的机构性及技术性措施以保障载有个人资料的资讯系统,包括以下措施:
  • 定期进行保安系统风险评估;
  • 使用防火墙等软件保护电脑网络;
  • 定期更新软件;
  • 定期对资讯及通讯系统进行保安漏洞评估及渗透测试;
  • 实施修补程式的管理;
  • 分开内部资料伺服器与网络伺服器;及
  • 为员工提供适当培训,提高员工的数据安全意识,建立一道「人力防火墙」。
私隐专员公署鼓励各机构参考公署刊发的《资讯及通讯科技的保安措施指引》及《资料外洩事故的处理及通报指引,未雨绸缪,提升网络安全和数据安全。为协助企业保障数据安全,公署推出了「数据安全」专题网页[1]、「数据安全」热线 2110 1155),以及方便企业就其资讯及通讯科技系统的资料保安措施进行自我评估的「数据安全快测」[2]


私隐专员公署今日发表香港桂冠论坛委员会及香港芭蕾舞团有限公司资料外洩事故的调查结果。图为私隐专员钟丽玲(中)、首席个人资料主任(合规及查询)郭正熙(左)及高级个人资料主任(合规及查询)卢浩荣(右)。



 
-完-