鍾麗玲(左)指,消委會在事件中存5項缺失。(陳奕釗攝)
個人資料私隱專員公署公布消委會資料外洩事故調查結果,指消委會沒有為遠端存取資料、啟用多重認證,及妥善設定用作偵測及攔截的網絡安全軟件,令黑客組織取得消委會的管理員權限帳戶進入消委會網絡,再到服務器及端點裝置進行勒索軟件攻擊,致超過450人的個人資料外洩,當中近半屬投訴人。私隱專員認為消委會在事件中存5項缺失,違反《個人資料(私隱)條例》,促設置遙距登入資訊及通訊系統使用多重身份驗證。
調查指,去年9月4日黑客組織ALPHV獲取並利用消委會一個具管理員權限的帳戶,透過虛擬私有網絡進入消委會的網絡,並在同月19日至20日以勒索軟件攻擊伺服器及端點裝置遭,導致消委會的93個系統遭到惡意加密,11個伺服器及端點裝置被黑客入侵;消委會翌日向公署通報事件。
外洩資料涉現職離職員工
事件中4個載有個人資料的檔案遭受未獲准許的查閱,涉及超過450名人士的個人資料,包括289名投訴人、26名資訊科技服務供應商員工、消委會的138名現職及24名已離職員工,外洩資料包括姓名、電話號碼、住宅或通訊地址、電郵、收入及年齡範圍、投訴性質及簡要、職銜等。
私隱專員鍾麗玲指,消委會早在2020年11月疫情期間,容許員工透過VPN連接消委會網絡在家工作,但未有啟用多重認證核實身份。她認為事故最大的原因是沒有為遠端存取資料啟用多重認證功能,導致黑客能利用取得的帳戶憑證進人消委會的網絡。
她續指,消委會沒有妥善設定用作偵測及攔截網路安全威脅的網路安全軟體,如未有啟動該網絡安全軟件的警報功能,軟件將未能在檢測到威脅後發出警報電郵。消委會回應指,由負責該網絡安全軟件的消委會員工及供應商員工均已離職,消委會無法確定未啟動警報功能原因。
另外,外洩的289名投訴人資料,事發前3個月因人為錯誤,儲存在沒有配置網絡安全軟件的測試伺服器,而消委會亦無書面政策禁止或防止員工儲存個人資料於測試伺服器。
消委會:正完善資訊科技政策
公署已要求消委會聘請獨立資訊科技專家檢視保安措施,及確保資訊系統具備有效偵測和保安措施等,並要在兩個月內提交報告證明已落實建議。
消委會回應指,事發後已即時糾正問題,包括啟用遠端存取多重認證功能等,正完善資訊科技政策和工作指引,加強抵禦網絡保安威脅的能力。