軟件過時…港又一村花園俱樂部洩9000會員個資

個人資料私隱專員公署昨日發表涉及又一村花園俱樂部資料外洩事故的調查報告，涉及俱樂部外判服務供應商使用的遠端存取軟件過時並存在保安漏洞，黑客藉此竊取供應商帳戶憑證，入侵系統並獲取會員檔案，合共9045人的姓名、香港身分證號碼或護照號碼、出生日期、電郵地址、聯絡電話及地址等個人資料遭外洩。

私隱專員鍾麗玲裁定俱樂部違反「私隱條例」，已送達執行通知，要求即時採取糾正措施。俱樂部昨日稱，至今未發現任何受影響資料被公開；已按公署要求實施各項維護私隱安全改善措施。

文匯報報導，該俱樂部是一間私人非牟利的社交及康樂機構，向已登記會員及賓客提供康樂設施及餐飲服務。其管理系統負責管理會員資料，所有資料均儲存於伺服器。系統由外判供應商提供及維護，供應商並透過專用遠端存取軟件連接伺服器，以提供技術支援。俱樂部去年10月31日向公署通報，指伺服器內檔案遭勒索軟件加密致系統無法運作，令1553名活躍會員、1723名附屬卡持有人、1313名前會員，以及4456名前附屬卡持有人的個人資料遭外洩。

公署調查發現，事發時涉事遠端存取軟件已屬過時版本，並存在已知的保安漏洞，黑客藉此竊取服務供應商帳戶憑證，從而直接進入儲存大量個人資料的相關伺服器。此外，伺服器長期維持登入狀態，俱樂部卻無實施額外的身分認證措施，進一步削弱保安防護；防毒軟件及防火牆亦已過時，未能有效偵測及阻截黑客活動。相關軟件開發商早於去年1月已發出保安警報，惟服務供應商並不知悉，俱樂部及供應商亦未就有關軟件建立保安更新或修補機制。

鍾麗玲指出，俱樂部在事故前未採取適當及充分的機構性及技術性資訊保安措施，以保障其資訊系統內所儲存的個人資料，令人失望。俱樂部保留888名前會員及3321名前附屬卡持有人的個人資料逾七年，亦超出法定規定。

另據明報報導，俱樂部昨日在網站發文就事件致歉，稱事後已即時跟進，包括即時停用涉事遙距存取軟件；升級網絡防護設備，加密個人資料檔案及實施授權與監察機制。至於資料保留期限，俱樂部表示正落實更嚴謹的資料保留及銷毀政策，不再保留非必要或超過法定要求的資料。