私隱公署發布又一村花園俱樂部資料外洩調查報告 9045人個資受影響 防毒軟件過時成主因
發佈時間:12:38 2026-04-23 HKT
個人資料私隱專員公署今日發布又一村花園俱樂部資料外洩事故的調查報告,事件合共影響9045名資料當事人,包括1553名活躍會員、1723名附屬卡持有人、1313名前會員,以及4456 名前附屬卡持有人。受影響的個人資料包括姓名、香港身份證號碼及/或護照號碼、出生日期、電郵地址、聯絡電話及地址。
調查源於又一村花園俱樂部於去年10月31日向私隱專員公署通報的資料外洩事故。事故涉及又一村花園俱樂部存放於伺服器內的俱樂部管理系統檔案,遭勒索軟件加密而無法運作(外洩事件)。有關的俱樂部管理系統負責管理俱樂部的會員資料,而所有相關的個人資料均儲存於上述伺服器内,並由外判服務供應商負責提供及維護系統,服務供應商會透過專用的遠端存取軟件連接伺服器,以提供技術支援。
黑客利用漏洞成功竊取供應商帳戶憑證
調查發現,事發時相關遠端存取軟件屬已過時版本,並存在已知的保安漏洞。黑客利用該漏洞成功竊取服務供應商的帳戶憑證,從而直接進入儲存大量個人資料的相關伺服器。此外,該伺服器長時間保持登入狀態,俱樂部並無實施額外的身分認證措施,進一步削弱系統的保安防護。同時,俱樂部的防毒軟件及防火牆均已過時,未能偵測及阻止黑客活動。
又一村花園俱樂部為一所私人、非牟利的社交及康樂機構,專門為已登記會員及賓客提供康樂設施及餐飲服務。在外洩事件發生後,又一村花園俱樂部已通知受影響的人士,並採取多項補救措施,包括停止使用存在漏洞的遠端存取軟件、對所有遠端存取連接進行監控、將所有服器及端點的防毒軟件及防火牆更新至最新版本,以及將儲存於服器內的個人資料檔案加密。
沒有採取所有切實可行步驟保障個資
私隱專員公署就外洩事件共進行了四次查訊,並審視了俱樂部提供的資料,以及俱樂部就外洩事件的跟進及補救工作。經考慮外洩事件的情況及調查所獲得的資料,私隱專員鍾麗玲認為又一村花園俱樂部的以下缺失是導致外洩事件發生的主因,包括使用已過時並存在保安漏洞的遠端存取軟件;伺服器的遠端存取欠缺用戶身分認證措施;使用已過時的防毒軟件及防火牆;欠缺資訊保安的機構性措施及過長地保留個人資料。
又一村花園俱樂部在外洩事件發生前,未有採取適當及充分的機構性及技術性資訊保安措施,以保障其資訊系統內所儲存的個人資料。此外,俱樂部沒有採取所有切實可行的步驟,以確保個人資料的保存時間不超過使用相關資料實際所需的時間。基於上述情況,公署裁定俱樂部違反《私隱條例》,並向俱樂部送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。
鍾麗玲:應定期檢視資訊系統保安措施成效
鍾麗玲指出,涉及會員及客戶的資料庫通常載有大量、完整且持續更新的個人資料,因而成為網絡攻擊的主要目標。黑客一旦入侵會員及客戶資料庫,往往會竊取大量個人資料,並出售相關資料用作不法用途。她提醒所有收集和保存大量會員及客戶個人資料的機構,應採取主動的策略,定期檢視資訊系統保安措施的成效,並投放足夠資源以保障會員及客戶的個人資料,從而遵從《私隱條例》的規定,並符合資料當事人的合理期望。
公署建議機構應採取足夠及合適的機構性及技術性措施,以保障載有個人資料的資訊系統,包括及時更新遠端存取軟件、防毒軟件及防火牆,以修補已知漏洞;為存取資料實施有效的用戶身分認證,包括使用強密碼及多重身分認證;建立充分的機構性措施,包括資訊保安的內部政策及穩妥的遠端存取方案等。
醫管局九龍東聯網外洩事故 收6宗投訴及8宗查詢
至於醫管局早前外洩5.6萬名病人資料,私隱專員公署指截止本周二,收到6宗投訴及8宗查詢。鍾麗玲表示,公署在收到相關機構通報資料外洩事故後,即時展開調查 ,亦已經與相關機構代表開會 ,要求他們提交相關資料及採取補救措施,並已經建議為他們安排進行保障私隱方面的講座及培訓。
另外,為支援家長及老師,公署發布《保護兒童網上私隱—給家長及老師的實用貼士》,就家長及老師如何協助兒童在網上世界保障其個人資料私隱及安全,提供實用的建議。貼士鼓勵家長及老師與兒童討論上網時需要注意的事項,善用平台提供的家長操控措施監察兒童的網上活動,並親身體驗最新科技,以深入了解網上平台的功能和服務;家長及老師應提醒兒童,在使用網上平台或與人工智能工具互動時,不要過度分享個人資料,慎留數碼足跡,並檢查及調整預設的私隱設定。同時,亦應培養兒童尊重他人私隱的意識等。
下載《保護兒童網上私隱——給家長及老師的實用貼士》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/leaflet_childrenonlineprivacy_c.pdf
此外,為協助家長及老師更容易理解相關貼士,私隱專員公署亦發布了一份「懶人包」,扼要總結實用貼士。下載「懶人包」:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/safeguarding_practicaltips.pdf
記者:蔡思宇
攝影:何家豪
