私隱公署：七大主因導致樂施會資料外洩　55萬當事人受影響

【點新聞報道】去年7月13日，個人資料私隱專員公署接到香港樂施會遭受勒索軟件攻擊導致資料外洩的事故通報，55萬名資料當事人受影響，私隱公署今日（23日）總結調查結果表示，有七大主因導致外洩事件發生。

私隱公署針對樂施會資料外洩事故調查發現，有超過330GB的數據從樂施會的資訊系統中被竊取，可能受外洩事件影響的資料當事人約550,000名，包括捐款者、活動參加者、義工、項目夥伴、項目參與者、項目顧問、現職及離職僱員、求職者及管治成員；涉及的個人資料包括姓名、香港身份證號碼/副本、護照號碼／副本、出生日期、電話號碼、電郵地址、地址、信用卡號碼及銀行賬戶號碼。

調查結果發現，此外洩事件是黑客透過暴力攻擊及利用樂施會防火牆的嚴重漏洞，從而入侵樂施會的37台伺服器、24台工作電腦及手提電腦，竊取大批隱私數據。

私隱專員對該外洩事故進行總結，認為樂施會的以下缺失是導致外洩事件發生的主因：

1. 過時的防火牆存在嚴重漏洞
2. 未有啟用多重認證功能
3. 沒有對伺服器進行關鍵保安修補
4. 資訊系統欠缺有效的偵測措施
5. 對資訊系統進行的保安評估不足
6. 資訊保安政策有欠具體
7. 過長地保存個人資料

私隱公署指，樂施會於事發前未有採取足夠及有效的措施以保障其資訊系統的安全，亦未有制訂有效的機制適時地銷毀部分過長地保存的個人資料，以致發生大規模的資料外洩事故，亦違反了《私隱條例》保障資料第4（1）及第2（2）原則有關個人資料保安及保存的規定，私隱專員已向樂施會送達執行通知。

（點新聞記者陳子萌報道）