洩9045人個資又一村花園俱樂部違例
發佈時間:03:00 2026-04-24 HKT
個人資料私隱專員公署發布又一村花園俱樂部資料外洩事故的調查報告,指有逾9000人的個人資料外洩,主要原因是俱樂部使用已過時並存在保安漏洞的遠端存取軟件,防毒軟件及防火牆亦未更新,故此裁定俱樂部違反《私隱條例》,指示其採取措施糾正違規事項,以防範同類事件重演。
外洩事故導致9045名資料當事人受影響,包括1553名活躍會員、1723名附屬卡持有人、1313名前會員,以及4456名前附屬卡持有人。受影響的個人資料包括姓名、香港身份證號碼及/或護照號碼、出生日期、電郵地址、聯絡電話及地址。
包括身份證電話地址等
調查源於又一村花園俱樂部於去年10月31日向私隱專員公署通報的資料外洩事故。事故涉及俱樂部存放於伺服器內的管理系統檔案遭勒索軟件加密而無法運作(外洩事件)。有關管理系統負責管理俱樂部的會員資料,所有相關的個人資料均儲存於上述伺服器內,並由外判服務供應商負責提供及維護系統,包括透過專用的遠端存取軟件連接伺服器,以提供技術支援。
調查發現,相關遠端存取軟件屬過時版本,並存在已知的保安漏洞。黑客利用該漏洞成功竊取服務供應商的帳戶憑證,從而直接進入儲存大量個人資料的相關伺服器。此外,該伺服器長時間保持登入狀態,俱樂部並無實施額外的身份認證措施,進一步削弱系統的保安防護。同時,俱樂部的防毒軟件及防火牆均已過時,未能偵測及阻止黑客活動。
伺服器長時間登入狀態
私隱專員公署就外洩事件共進行了4次查訊。私隱專員鍾麗玲認為,俱樂部的缺失是導致外洩事件發生的主因,包括使用已過時並存在保安漏洞的遠端存取軟件;伺服器的遠端存取欠缺用戶身份認證措施;使用已過時的防毒軟件及防火牆;欠缺資訊保安的機構性措施,以及過長地保留個人資料。公署裁定俱樂部違反《私隱條例》,遂送達執行通知,指示其採取措施糾正違規事項,防止再次發生。
鍾麗玲指出,涉及會員及客戶的資料庫通常載有大量、完整且持續更新的個人資料,因而成為網絡攻擊的主要目標。黑客一旦入侵會員及客戶資料庫,往往會竊取大量個人資料,並出售相關資料用作不法用途。她提醒所有收集和保存大量會員及客戶個人資料的機構,應採取主動策略,定期檢視資訊系統保安措施的成效,並投放足夠資源以保障會員及客戶的個人資料。
另外,為支援家長及老師,公署發布《保護兒童網上私隱—給家長及老師的實用貼士》,就家長及老師如何協助兒童在網上世界保障其個人資料私隱及安全,提供實用的建議。貼士鼓勵家長及老師與兒童討論上網時需要注意的事項,善用平台提供的家長操控措施監察兒童的網上活動,並親身體驗最新科技,以深入了解網上平台的功能和服務;家長及老師應提醒兒童,在使用網上平台或與人工智能工具互動時,不要過度分享個人資料,慎留數碼足跡,並檢查及調整預設的私隱設定。同時,亦應培養兒童尊重他人私隱的意識等。
