泄9045人个资又一村花园俱乐部违例
发布时间:03:00 2026-04-24 HKT
个人资料私隐专员公署发布又一村花园俱乐部资料外泄事故的调查报告,指有逾9000人的个人资料外泄,主要原因是俱乐部使用已过时并存在保安漏洞的远端存取软件,防毒软件及防火墙亦未更新,故此裁定俱乐部违反《私隐条例》,指示其采取措施纠正违规事项,以防范同类事件重演。
外泄事故导致9045名资料当事人受影响,包括1553名活跃会员、1723名附属卡持有人、1313名前会员,以及4456名前附属卡持有人。受影响的个人资料包括姓名、香港身份证号码及/或护照号码、出生日期、电邮地址、联络电话及地址。
包括身份证电话地址等
调查源于又一村花园俱乐部于去年10月31日向私隐专员公署通报的资料外泄事故。事故涉及俱乐部存放于伺服器内的管理系统档案遭勒索软件加密而无法运作(外泄事件)。有关管理系统负责管理俱乐部的会员资料,所有相关的个人资料均储存于上述伺服器内,并由外判服务供应商负责提供及维护系统,包括透过专用的远端存取软件连接伺服器,以提供技术支援。
调查发现,相关远端存取软件属过时版本,并存在已知的保安漏洞。黑客利用该漏洞成功窃取服务供应商的帐户凭证,从而直接进入储存大量个人资料的相关伺服器。此外,该伺服器长时间保持登入状态,俱乐部并无实施额外的身份认证措施,进一步削弱系统的保安防护。同时,俱乐部的防毒软件及防火墙均已过时,未能侦测及阻止黑客活动。
伺服器长时间登入状态
私隐专员公署就外泄事件共进行了4次查讯。私隐专员钟丽玲认为,俱乐部的缺失是导致外泄事件发生的主因,包括使用已过时并存在保安漏洞的远端存取软件;伺服器的远端存取欠缺用户身份认证措施;使用已过时的防毒软件及防火墙;欠缺资讯保安的机构性措施,以及过长地保留个人资料。公署裁定俱乐部违反《私隐条例》,遂送达执行通知,指示其采取措施纠正违规事项,防止再次发生。
钟丽玲指出,涉及会员及客户的资料库通常载有大量、完整且持续更新的个人资料,因而成为网络攻击的主要目标。黑客一旦入侵会员及客户资料库,往往会窃取大量个人资料,并出售相关资料用作不法用途。她提醒所有收集和保存大量会员及客户个人资料的机构,应采取主动策略,定期检视资讯系统保安措施的成效,并投放足够资源以保障会员及客户的个人资料。
另外,为支援家长及老师,公署发布《保护儿童网上私隐—给家长及老师的实用贴士》,就家长及老师如何协助儿童在网上世界保障其个人资料私隐及安全,提供实用的建议。贴士鼓励家长及老师与儿童讨论上网时需要注意的事项,善用平台提供的家长操控措施监察儿童的网上活动,并亲身体验最新科技,以深入了解网上平台的功能和服务;家长及老师应提醒儿童,在使用网上平台或与人工智能工具互动时,不要过度分享个人资料,慎留数码足迹,并检查及调整预设的私隐设定。同时,亦应培养儿童尊重他人私隐的意识等。
