消費者委員會(消委會)去年 9 月表示電腦系統曾被黑客入侵,發生資料外洩事故(相關報道)。個人資料私隱專員公署(私隱公署)已完成相關調查,結果顯示消委會沒有採取全部可行保障個人資料措施,違反私隱條例規定。消委會表示已按照私隱公署指示糾正及委託專家檢查,但目前尚未能確認黑客如何獲得帳戶憑證。
根據《香港電台》報導,私隱專員鍾麗玲表示,消委會有 5 項缺失,包括沒有啟用遠端存取資料多重認證功能、沒有妥善設定用作偵測及攔截網路安全威脅的軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體,以及保障個人資料私隱及網絡安全意識不足,致使 289 名曾經向消委會遞交投訴的人士,以及現任與前任職員的資料外洩。
消委會指,調查無法確認是否有人曾經下載上述資料,而據外聘的暗網監察服務商資料顯示,現階段沒有證據顯示有任何受影響資料被公開。據報道,部門另外委託了專家檢查部門系統,調查結果顯示黑客非法獲得到管理員帳戶憑證,其後利用私人網絡入侵入消委會系統。現時尚未能確定黑客從何渠道得到憑證,但就表示管理員帳戶一直使用複雜的密碼且未受過暴力攻擊,受影響的資料少於1.5GB。
私隱公署指,消委會應採取以下 5 項措施,減低被攻擊風險:
- 對遙距登入資訊及通訊系統使用多重身份驗證;
- 設定穩健的網路保安框架;
- 定期對資訊系統進行風險評估及保安審計;
- 建立重視數據安全的企業文化及建立有效的培訓計劃;
- 加強員工對資料私隱的意識和能力。