會員數據庫遭未獲授權查閱 — 保障資料第4原則 — 個人資料的保安
背景
一間學會(該學會)向私隱專員公署通報,指黑客利用其外掛程式的保安漏洞,在未經授權下獲得儲存於網絡伺服器的會員數據庫之存取權限,並竊取了約1,000名會員的個人資料,包括他們的姓名、地址、電郵地址及手機號碼等個人資料。
補救措施
接獲該學會的通報後,私隱專員公署展開循規審查,並就《私隱條例》的相關規定向該學會提供建議。事故發生後,該學會已停用涉事的外掛程式,並停止把個人資料儲存於涉事的數據庫。此外,該學會檢視所有外掛程式原始碼及修補漏洞,並透過建立新的監察機制,監控會員數據庫的數據變化。
借鑑
雖然外掛程式為資訊系統提供便利,但也帶來各種資料保安風險,包括安全漏洞、惡意程式碼及不當的權限管理等,而這些風險足以導致資料外洩事故發生。如機構選擇在資訊系統中使用外掛程式,便應採取措施減少有關風險,包括僅從可信來源安裝外掛程式、對外掛程式進行定期的更新及漏洞檢測、進行有效的權限管理,並檢視機構本身在資料保安方面已經採取的機構性及技術性措施是否足夠對應使用外掛程式所帶來的額外風險。
上載日期:2025年10月