私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正

私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正 个人资料私隐专员公署完成有关消委会资料外泄事故的调查，私隐专员钟丽玲表示，事故是由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定。她已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。钟丽玲指出，消委会的缺失包括没有为远端存取资料启用多重认证功能、没有妥善设定用作侦测及拦截网路安全威胁的软件、欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料、资讯保安政策有欠全面及具体，以及保障个人资料私隐及网络安全意识不足。私隐专员公署提出多项建议，以减低资讯系统被攻击的风险，包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网路保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效的培训计划，加强员工对资料私隐的意识和能力。公署说，消委会资料外泄事故涉及超过450人，包括投诉人、资讯科技服务供应商员工，以及消委会现职和前员工的个人资料。消委会去年9月曾交代，电脑系统遭黑客入侵，被勒索50万至70万美元赎金，现职员工、前员工、家属、《选择》月刊订购户及投诉人等的资料可能外泄。 2024-05-02 11:07:17 (1)

消委会资料外泄　私隐公署称因未有启用多重认证

消委会资料外泄　私隐公署称因未有启用多重认证 消委会的电脑系统去年遭黑客攻击勒索，个人资料私隐专员公署完成调查，认为是消委会的缺失，导致超过450人的个人资料外泄，违反私隐条例规定，已指示消委会纠正及防止类似情况再发生。私隐专员钟丽玲表示，消委会未有启用多重认证功能，是导致事件的重要原因。 2024-05-02 18:36:52

#港闻【Now新闻台】消委会去年9月疑遭黑客勒索，超过450人资料外泄。私隐专员公署认为消委会没有采取切实可行步骤保障个人资料。

#港闻 【Now新闻台】消委会去年9月疑遭黑客勒索，超过450人资料外泄。私隐专员公署认为消委会没有采取切实可行步骤保障个人资料。 公署指，消委会没有为远端存取启用多重认证功能，导致黑客能利用获取的帐户进行勒索软件攻击，同时没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件，亦欠缺足够保安措施，禁止或防止于测试伺服器内储存个人资料。 公署认为消委会在保障个人资料私隐及网络安全意识不足，已向他们发出执行通知，要求实施遥距使用者多重身份认证等措施。

私隐公署称机电署资料外泄事态严重将启动调查　暂未接获投诉

私隐公署称机电署资料外泄事态严重将启动调查　暂未接获投诉 机电署一个收录了17000名市民个人资料的网上伺服器平台，密码登入系统失效，可在毋须输入密码情况下浏览，涉及机电署2022年执行「围封强检」行动收集的资料，包括住户联络电话、身份证号码及住址等资料。个人资料私隐专员钟丽玲在本台节目《千禧年代》形容事态严重，涉及人数比较多，私隐专员公署将根据正常程序启动调查，已建议机电署尽快通知受影响人士，署方暂时未收到市民投诉。另外，消委会的电脑系统去年遭黑客攻击勒索，公署认为是消委会的缺失，导致超过450人的个人资料外泄，违反私隐条例规定。钟丽玲表示，事发时，消委会将有关个人资料放在测试伺服器，涉及人为错误。钟丽玲又说，疫情期间，消委会职员「在家工作」透过远端存取资料时，没有使用多重认证功能，因为当时员工对加装应用程式有声音，消委会资讯科技人手亦不足。她强调，采用多重认证，成本及技术不是很高，若有关机构不够人手，可外聘专家，若有需要亦可联络公署提供协助。钟丽玲又鼓励其他机构，设置妥当网络安全软件，并启动所有功能，否则会令软件失效。 2024-05-03 10:11:03

#港闻【Now新闻台】消委会回应指，事故发生后已采取即时行动纠正问题，指重视私隐专员公署建议，会持续提升资讯系统保安系统及数据安

#港闻 【Now新闻台】消委会回应指，事故发生后已采取即时行动纠正问题，指重视私隐专员公署建议，会持续提升资讯系统保安系统及数据安全。 消委会强调，受影响的个人资料非常有限，并不涉及信用卡、银行帐户及财务资料，至今无发现外泄的资料被公开。

消委会：已采取行动纠正　委托专家检查未确定黑客获帐户凭证原因

消委会：已采取行动纠正　委托专家检查未确定黑客获帐户凭证原因 个人资料私隐专员公署完成有关消委会资料外泄事故的调查，认为事故由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定，私隐专员已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。消委会回应，对于公署指出的不足之处和提出的建议深表重视，在事故发生后已积极采取即时行动纠正问题，包括为远端存取资料启用多重要素认证（MFA）功能、全面检视网络安全方案的功能及作出妥善设定，以及进一步加强内部培训以提升员工对网络安全的意识和行为。消委会亦正完善其资讯科技政策和工作指引，同时正委托威胁侦测与应变服务供应商，以加强抵御网络保安威胁的能力。消委会又指，已委托鉴证专家检查系统，结果显示黑客非法挪用具管理员权限的帐户凭证，并通过安全资料传输层虚拟私人网路入侵消委会电脑系统，尽管鉴证专家及消委会通过不同技术及多角度进行调查，但未能确定黑客获得凭证的原因，强调有关帐户一向采用复杂密码、未曾受到暴力攻击，帐户凭证亦未有在暗网出现，受影响的资料少于1.5GB。消委会说，受影响的个人资料非常有限，主要涉及289名曾经向消委会递交投诉的人士，亦包括现任和前职员的资料等。调查未能确定资料是否被下载，但根据外聘的暗网监察服务商资料，至目前为止未有发现任何受影响资料被公开。消委会强调，务必在安全至上的原则下，持续提升资讯系统保安系统及数据安全、采取与时并进的保安技术及方案、提升个人资料管理的工作、加强内部培训、资料管理政策及指引，并定期进行测试和检讨以提升网络系统的管治水平。 2024-05-02 12:18:22 (2)