潮流元素展示 / 2025-07-27 12:59:43

南华体育会(南华会)计算机服务器3月时遭黑客入侵、资料外泄,个人资料私隐专员公署已完成有关调查。公署指,受外泄事件影响的南华会会员数目为超过7.2万名,所涉及的个人资料包括姓名、香港身份证号码、护照号码、相片、出生日期及地址等。私隐专员钟丽玲认为南华会对保障所持有的会员个人资料意识薄弱,裁定南华会违反了《个人资料(私隐)条例》的相关规定,并已向南华会送达执行通知,指示其采取措施以纠正违规事项,以及防止类似违规情况再次发生。

▲钟丽玲认为南华会的多项缺失是导致外泄事件发生的主因。

▲南华体育会电脑伺服器3月时遭黑客入侵。

南华会于今年3月18日向私隐专员公署通报资料外泄事故,表示其服务器遭勒索软件攻击及恶意加密。公署调查发现,黑客早于2022年1月已在南华会一台与互联网连接的服务器内安装了恶意程序,惟没有证据显示黑客当时有进一步的恶意活动。今年3月,黑客透过潜伏在相关服务器内的恶意程序入侵南华会网络并安装远端控制软件,随后透过远端存取对南华会的计算机系统展开暴力攻击,并进行其他恶意活动,包括网络侦察、停用防毒及反恶意软件等,最终透过勒索软件将载有会员个人资料的档案加密。

有关的勒索软件属Trigona的变种,外泄事件导致南华会共8台服务器、1台数据储存器及18台计算机遭受勒索软件攻击及加密。黑客曾要求南华会支付赎金,为已被加密的档案解锁。南华会在外泄事件发生后已通知所有受影响的会员,并采取一系列的改善措施以提升系统安全,包括限制南华会网内服务连接至互联网、为管理员账户启用多重认证功能等。

经考虑外泄事件的情况及调查所获得的资料,钟丽玲认为南华会的多项缺失是导致外泄事件发生的主因,包括相关服务器被意外地曝露于互联网,导致南华会的计算机系统遭受网络攻击的风险大幅增加,最终黑客透过相关服务器作为踏板,入侵南华会网络并进行勒索软件攻击;信息系统欠缺有效的侦测措施,让黑客于3月15至16日期间合共向相关服务器作出超过4.34万次的登入尝试,当中在4小时内更录得超过 2万次的登入尝试;没有为管理员账户启用多重认证功能,及欠缺信息保安政策及指引等。

公署:如南华会事发前有足够措施可避免事故

私隐专员认为,假如南华会在事发前已采取适当及足够的技术性保安措施,是次资料外泄事故是相当有机会可以避免的。因此,私隐专员裁定南华会违反了《个人资料(私隐)条例》的保障资料第4(1)原则有关个人资料保安的规定。

学校及非牟利机构资料外泄事故宗数上升一倍半

另外,公署留意到近年涉及学校及非牟利机构的资料外泄事故呈明显的上升趋势。去年,公署接获的157宗资料外泄事故通报当中,学校及非牟利机构的个案共61宗(占整体个案约39%),比2022年的25宗(占整体个案约24%)上升接近一倍半。今年年首3季,公署共接获51宗来自学校及非牟利机构的资料外泄事故通报,占整体个案总数约33%,与上年同期接获此类个案的百分比相若。因此,公署认为学校及非牟利机构不能掉以轻心,应投放足够资源以提升资料保安措施,从而减低个人资料系统遭受网络攻击的风险。

以上内容归星岛新闻集团所有,未经许可不得擅自转载引用。

热刺-热刺队直播
亚洲杯攻略:阿联酋 vs 泰国