南華會逾7.2萬會員資料外洩　私隱公署裁定違反私隱條例

大公文匯全媒體報道，私隱專員公署近日完成對南華體育會資料外洩事故的調查。私隱專員鍾麗玲今日（22日）在調查報告指，南華會對保障所持有的會員個人資料意識薄弱，對於南華會事前未能採取有效資訊系統保安措施，感到非常失望，裁定南華會違反《個人資料私隱條例》，已向南華會送達執行通知，要求糾正。

調查結果指出，黑客早於2022年1月已在南華會其中1台與互聯網連接的伺服器內安裝了惡意程式，到今年3月，黑客透過潛伏在相關伺服器內的惡意程式，入侵南華會網絡，並安裝遠端控制軟件，隨後透過遠端存取對南華會的電腦系統展開暴力攻擊，並進行其他惡意活動，最終透過勒索軟件將載有會員個人資料的檔案加密。有關的勒索軟件屬「Trigoma」的變種，外洩事件導致南華會共8台伺服器、1台數據儲存器及18台電腦遭受勒索軟件攻擊及加密。黑客曾要求南華會支付贖金，為已被加密的檔案解鎖。

受外洩事件影響的南華會會員數目為72315人，所涉及的個人資料包括姓名、香港身份證號碼、護照號碼等。

鍾麗玲在報告中指，南華會在事件中有多項缺失，包括相關伺服器被意外地曝露於互聯網，資訊系統欠缺有效的偵測措施，沒有為管理員賬戶啟用多重認證功能，欠缺資訊保安政策及指引，以及沒有定期進行風險評估及保安審計，亦欠缺離線數據備份方案。

相關報道：

南華體育會資料外洩　私隱專員公署：約7萬人受影響