私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正

私隐公署：消委会缺失致450人资料外泄涉违规已指示纠正个人资料私隐专员公署完成有关消委会资料外泄事故的调查，私隐专员钟丽玲表示，事故是由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定。她已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。钟丽玲指出，消委会的缺失包括没有为远端存取资料启用多重认证功能、没有妥善设定用作侦测及拦截网路安全威胁的软件、欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料、资讯保安政策有欠全面及具体，以及保障个人资料私隐及网络安全意识不足。私隐专员公署提出多项建议，以减低资讯系统被攻击的风险，包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网路保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效的培训计划，加强员工对资料私隐的意识和能力。公署说，消委会资料外泄事故涉及超过450人，包括投诉人、资讯科技服务供应商员工，以及消委会现职和前员工的个人资料。消委会去年9月曾交代，电脑系统遭黑客入侵，被勒索50万至70万美元赎金，现职员工、前员工、家属、《选择》月刊订购户及投诉人等的资料可能外泄。2024-05-0211:07:17(1)

私隐专员公署指已收消委会资料外泄通报　展开循规审查

私隐专员公署指已收消委会资料外泄通报展开循规审查私隐专员公署表示，已收到消费者委员会的资料外泄事故通报，已根据既定程序就事件展开循规审查，并建议有关机构尽快通知受影响人士。消委会的网站显示，由于电脑系统昨日发生故障，投诉及咨询热线、订阅部、网上价格一览通，及油价资讯通的服务一度受到影响。公署表示，考虑到事故可能涉及个人资料外泄，呼吁可能受影响人士提高警惕。公署提到，受影响人士为保障个人资料私隐，可考虑更改网上帐户密码，并启用多重认证功能；审视银行月结单，以确定是否有任何未经授权的活动；收到不明来历或可疑的来电、短讯或电邮时要提高警觉，切勿随意打开附件或披露个人资料等。公署亦建议持有个人资料的机构，应制定针对资料管治和资料保安的内部政策和程序，及定期进行风险评估等。2023-09-2119:27:49

私隐公署称在家工作属新常态　因涉遥距登入吁机构加强加密保障

私隐公署称在家工作属新常态因涉遥距登入吁机构加强加密保障消委会电脑系统去年被黑客以勒索软件攻击，导致部分系统受破坏，勒索数十万美元赎金。个人资料私隐专员公署完成调查事件，认为消委会有数项缺失，导致超过450人的资料外泄，违反私隐条例规定，已指示消委会纠正及防止类似情况再发生，消委会要在两个月内证明完成有关指示。调查显示，有黑客组织取得消委会一个有管理员权限的帐户凭证，透过虚拟私有网络（VPN）进入消委会的网络，再以勒索软件攻击伺服器，导致93个系统遭到恶意加密，伺服器及员工电脑等端点装置被入侵。私隐专员钟丽玲指出，疫情期间消委会安排员工「在家工作」，允许员工远端连接网络，而未有启用多重认证功能是导致事件的重要原因，若果消委会有设定多重认证，核实帐户的用户身份，相信可以阻止黑客进入系统，避免随后的勒索攻击。钟丽玲表示，在家工作是新常态，机构必须注意网络安全，尤其因为涉及遥距登入，要考虑加强加密保障。她说，市面上有很多双重认证的软件，设定简单，安全性很高。公署的调查又发现，消委会负责网络安全的员工离职后，没有启动侦测及拦截网络威胁的警报设定，导致系统侦测到网络安全威胁后未有发送警报电邮；一名前资讯科技部员工亦没有按政策规定，于系统设定复杂密码。2024-05-0212:51:41

钟丽玲谴责网络攻击　促各机构采可行步骤保障个人资料

钟丽玲谴责网络攻击促各机构采可行步骤保障个人资料个人资料私隐专员钟丽玲表示，留意到近日接连有机构系统遭黑客入入侵，导致资料外泄的事件，公署谴责非法网络攻击行为，建议持有个人资料的机构，应定时进行保安风险评估，加强数据安全。就数码港电脑系统遭黑客入侵窃取资料并勒索事件，钟丽玲表示，截至下午5时，共收到24宗投诉及52宗查询；至于消委会的事件，则收到1宗投诉及8宗查询。她强调，若发生资料外泄，应尽快通报公署，并通知当事人。2023-09-2217:41:50(1)

私隐公署称机电署资料外泄事态严重将启动调查　暂未接获投诉

私隐公署称机电署资料外泄事态严重将启动调查暂未接获投诉机电署一个收录了17000名市民个人资料的网上伺服器平台，密码登入系统失效，可在毋须输入密码情况下浏览，涉及机电署2022年执行「围封强检」行动收集的资料，包括住户联络电话、身份证号码及住址等资料。个人资料私隐专员钟丽玲在本台节目《千禧年代》形容事态严重，涉及人数比较多，私隐专员公署将根据正常程序启动调查，已建议机电署尽快通知受影响人士，署方暂时未收到市民投诉。另外，消委会的电脑系统去年遭黑客攻击勒索，公署认为是消委会的缺失，导致超过450人的个人资料外泄，违反私隐条例规定。钟丽玲表示，事发时，消委会将有关个人资料放在测试伺服器，涉及人为错误。钟丽玲又说，疫情期间，消委会职员「在家工作」透过远端存取资料时，没有使用多重认证功能，因为当时员工对加装应用程式有声音，消委会资讯科技人手亦不足。她强调，采用多重认证，成本及技术不是很高，若有关机构不够人手，可外聘专家，若有需要亦可联络公署提供协助。钟丽玲又鼓励其他机构，设置妥当网络安全软件，并启动所有功能，否则会令软件失效。2024-05-0310:11:03

消委会：已采取行动纠正委托专家检查　未确定黑客获帐户凭证原因

消委会：已采取行动纠正委托专家检查未确定黑客获帐户凭证原因个人资料私隐专员公署完成有关消委会资料外泄事故的调查，认为事故由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定，私隐专员已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。消委会回应，对于公署指出的不足之处和提出的建议深表重视，在事故发生后已积极采取即时行动纠正问题，包括为远端存取资料启用多重要素认证（MFA）功能、全面检视网络安全方案的功能及作出妥善设定，以及进一步加强内部培训以提升员工对网络安全的意识和行为。消委会亦正完善其资讯科技政策和工作指引，同时正委托威胁侦测与应变服务供应商，以加强抵御网络保安威胁的能力。消委会又指，已委托鉴证专家检查系统，结果显示黑客非法挪用具管理员权限的帐户凭证，并通过安全资料传输层虚拟私人网路入侵消委会电脑系统，尽管鉴证专家及消委会通过不同技术及多角度进行调查，但未能确定黑客获得凭证的原因，强调有关帐户一向采用复杂密码、未曾受到暴力攻击，帐户凭证亦未有在暗网出现，受影响的资料少于1.5GB。消委会说，受影响的个人资料非常有限，主要涉及289名曾经向消委会递交投诉的人士，亦包括现任和前职员的资料等。调查未能确定资料是否被下载，但根据外聘的暗网监察服务商资料，至目前为止未有发现任何受影响资料被公开。消委会强调，务必在安全至上的原则下，持续提升资讯系统保安系统及数据安全、采取与时并进的保安技术及方案、提升个人资料管理的工作、加强内部培训、资料管理政策及指引，并定期进行测试和检讨以提升网络系统的管治水平。2024-05-0212:18:22(1)