社會事
個人資料私隱專員公署拘捕一名54歲男子,涉嫌在未經資料當事人的同意下披露了他人個人資料,違反《個人資料(私隱)條例》。
個人資料私隱專員公署。資料圖片(圖片來源:星島日報)
公署的調查顯示,事主在去年年初原擬租賃一間商場舖位以經營業務,並簽下臨時租約及佣金承諾書。事主透過即時通訊軟件發送其公司註冊證明,其中載有其公司註冊地址,以及香港身份證副本以作租賃安排。事主其後決定不租用該舖位,並與代理就佣金問題發生爭拗。
私隱專員公署FB圖片
公署說,去年9月,有人先後3次發送短訊給事主,要求他向該代理支付佣金,否則會上門追款。去年10月,有人在事主公司註冊地址的大門兩則張貼向事主追討款項的單張,並附上一張屬於事主的香港身份證的副本,當中披露事主的個人資料包括中文姓名、英文姓名、中文姓名電碼、香港身份證號碼、出生日期、性別,以及事主的照片等。
被捕人士獲准保釋,私隱專員公署會繼續調查案件。
鍾麗玲表示,在家工作是新常態,機構必須注意網絡安全,尤其因為涉及遙距登入,要考慮加強加密保障。
私隱專員鍾麗玲。資料圖片(圖片來源:星島日報)
消委會電腦系統去年被黑客以勒索軟件攻擊,導致部分系統受破壞,勒索數十萬美元贖金。個人資料私隱專員公署完成調查事件,認為消委會有數項缺失,導致超過450人的資料外洩,違反私隱條例規定,已指示消委會糾正及防止類似情況再發生,消委會要在兩個月內證明完成有關指示。
調查顯示,有黑客組織取得消委會一個有管理員權限的帳戶憑證,透過虛擬私有網絡(VPN)進入消委會的網絡,再以勒索軟件攻擊伺服器,導致93個系統遭到惡意加密,伺服器及員工電腦等端點裝置被入侵。
私隱專員鍾麗玲指出,疫情期間消委會安排員工「在家工作」,允許員工遠端連接網絡,而未有啟用多重認證功能是導致事件的重要原因,若果消委會有設定多重認證,核實帳戶的用戶身份,相信可以阻止黑客進入系統,避免隨後的勒索攻擊。
鍾麗玲表示,在家工作是新常態,機構必須注意網絡安全,尤其因為涉及遙距登入,要考慮加強加密保障。她說,市面上有很多雙重認證的軟件,設定簡單,安全性很高。
公署的調查又發現,消委會負責網絡安全的員工離職後,沒有啟動偵測及攔截網絡威脅的警報設定,導致系統偵測到網絡安全威脅後未有發送警報電郵;一名前資訊科技部員工亦沒有按政策規定,於系統設定複雜密碼。
