【on.cc东网专讯】南华体育会今年3月发生资料外洩事故，个人私隐专员公署完成相关调查。私隐署认为事故是可以避免，但南华会保护会员个人资料的意识薄弱，对于南华会事前未能採取有效资讯系统保安措施，感到非常失望，裁定南华会违反《个人资料私隐条例》，已向南华会送达执行通知，要求纠正，以及防止类似违规情况再次发生。

受外洩事件影响的南华会会员数目为72,315人，所涉及的个人资料包括姓名、香港身份证号码、护照号码等。

私隐署的调查发现黑客早于2022年1月已在南华会其中 1台与互联网连接的伺服器内安装了恶意程式，到今年3月，黑客透过潜伏在相关伺服器内的恶意程式，入侵南华会网络，并安装远端控制软件 ，随后透过远端存取对南华会的电脑系统展开暴力攻击，并进行其他恶意活动 ，最终透过勒索软件将载有会员个人资料的档案加密。

有关的勒索软件属 Trigoma 的变种，外洩事件导致南华会共 8台伺服器、1台数据储存器及18台电脑遭受勒索软件攻击及加密。黑客曾要求南华会支付赎金，为已被加密的档案解锁。

公署指南华会在事件中有6项缺失，包括伺服器被意外暴露在互联网，成为黑客入侵的跳板、资讯系统亦欠缺侦测措施，未有启用密码输入失败后的锁定功能，令黑客可以在4小时内尝试登入2万次，南华会亦无为管理员帐户启用多重认证功能，欠缺保安政策及指引，以及没有定期进行风险评估及保安审计，亦欠缺离线数据备份方案。

基于有关调查结果， 公署已向南华会发出执行通知，要求每年至少审视一次个人资料系统连结互联网的必要性，定期检视及更新侦测及警示工具，聘请独立资讯保安专家每年进行风险评估及保安审计。南华会须在2个月内提交改善措施的证明文件。

至于为何黑客潜伏逾2年始犯案，锺丽玲估计是相关黑客在期间收集一定的资讯量，待时机成熟才下手；亦有可能是犯案的不止一个黑客，有人收集足够资料后转售另一黑客才发起大规模攻击和勒索。她呼吁各机构要小心资讯系统的保安，形容是电子夹万，绝不能掉以轻心或心存侥倖，否则内裏的个人资料或敏感资料就会暴露。个人资料一旦遭到黑客盗取，就等如洩露进互联网的大海，几乎不可能删除，受影响人士要留意有否异常交易，以及要改密码和使用多种认证。

被问及黑客向南华会提出勒索多少赎金，她指不便透露，但强调机构如遇上类似情况绝对不要顺从黑客要求，以免助长非法行为。

【更多即时新闻详情请上东网新闻】