【大纪元2024年05月03日讯】(大纪元记者陈恺香港报导)消委会电脑系统去年9月遭黑客入侵和勒索,个人资料私隐专员公署2日发表调查结果,指事故导致逾450人的个人资料遭擅取查阅,事件主因在于消委会未启用多重认证功能,到结束在家工作安排后亦未取消远端连接网络的安排,以致未能核实远端存取资料人士的身份,违反《私隐条例》规定。私隐专员钟丽玲表示,已向消委会送达执行通知要求纠正,以防再发生类似违规情形。
涉289名投诉人 员工抗拒多重认证
公署调查发现,被擅阅个人资料的包括289名投诉人、26名资讯科技服务供应商员工、138名现职及24名已离职的消委会员工,涉及姓名、电话号码、地址等资料。公署又发现,黑客组织取得一个具管理员权限的账户凭证,透过虚拟私有网络(VPN)进入消委会网络,遂于去年9月19日及20日对消委会服务器及端点装置进行勒索软件攻击,导致93个系统遭恶意加密、11个服务器及端点装置,如员工座台、公司手提电话等遭入侵。
钟丽玲提到,消委会在2020年底疫情期间实施在家工作安排,允许员工透过VPN远端连接机构网络,当时因有员工反对安装额外多重认证的软件,加上资讯科技部门人手不足,因此无为远端登入消委会网络的用户启用多重认证功能;消委会于2022年5月取消在家工作安排,但仍允许员工无需经多重认证功能便能远端连接机会网络。
指员工欠网络安全意识等
公署指消委会未启用多重认证功能,以致未能核实远端存取资料人士的身份。其它4点缺失包括无妥善设定用作侦测及拦截网络安全威胁的软件、欠足够保安措施禁止或防止于测试服务器内储存个人资料、欠全面和具体的资讯保安政策,以及保障个人资料私隐及网络安全意识不足,例有一名员工未有于系统设定实施机构订定的复杂密码政策。钟丽玲指,公署要求消委会完成7项指示,包括聘请独立资讯保安专家去检视保安措施,又要求制定清晰及全面的程序,禁止员工于测试服务器中储放资料等。
被问到现时暗网有否存在所泄资料时,她表示网络世界难以预料,不知道黑客会何时拿出相关资料,资料如同“去咗大海”。钟强烈建议机构一旦遇上资料外泄事故,勿应要求交赎金,因无法防止资料被第三者进一步披露,不应纵容黑客的犯法行为。
消委会:未发现资料被公开
消委会回应指,事件中整体受影响的个人资料非常有限,根据外聘的暗网监察服务商的资料,目前未发现任何受影响的资料被公开;又指他们和专家仍未能确定黑客获得账户凭证的原因。
会方表示,重视公署指出的不足之处及具体建议,事后已积极行动纠正,正完善资讯科技政策和工作指引,会持续提升资讯系统保安系统及数据安全、采取与时并进的保安技术及方案。他们再次强烈谴责黑客在未经授权下进入其电脑系统及取览资料的非法行为,并对受影响的人士深表歉意。
香港资讯科技商会荣誉会长方保侨表示,消委会事后有监察暗网,检视受影响资料有否外泄,是负责任的做法。他提醒企业如在疫情后不再作出在家工作安排,便应关闭相关网络接口,除了要求员工遥距办事启用多重验证,网络装置亦应定期更新,尽量减低遭受攻击的风险。@
责任编辑:陈真
