香港消委会电脑系统遭黑客入侵 誓言不会付赎金

香港消委会电脑系统遭黑客入侵誓言不会付赎金香港消费者委员会电脑系统遭黑客入侵，黑客要求消委会星期六（9月23日）支付50万美元（68万新元）赎金，但消委会誓言不会缴交。据香港01报道，黑客19日傍晚入侵消委会电脑系统长达七小时。消委会员工隔天（20日）早上上班发现系统无法如常使用后，才察觉到遭黑客入侵，并在星期四（21日）早上报警。消委会主席陈锦荣星期五（22日）在记者会上交代这起事件时说，黑客要求消委会23日晚上11时20分前缴交50万美元赎金，一旦过了这个时间，金额将上升至70万。消委会称，绝对不会缴交赎金，并会全力配合警方的调查工作，希望早日将有关人士绳之于法。

私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正

私隐公署：消委会缺失致450人资料外泄涉违规已指示纠正个人资料私隐专员公署完成有关消委会资料外泄事故的调查，私隐专员钟丽玲表示，事故是由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定。她已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。钟丽玲指出，消委会的缺失包括没有为远端存取资料启用多重认证功能、没有妥善设定用作侦测及拦截网路安全威胁的软件、欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料、资讯保安政策有欠全面及具体，以及保障个人资料私隐及网络安全意识不足。私隐专员公署提出多项建议，以减低资讯系统被攻击的风险，包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网路保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效的培训计划，加强员工对资料私隐的意识和能力。公署说，消委会资料外泄事故涉及超过450人，包括投诉人、资讯科技服务供应商员工，以及消委会现职和前员工的个人资料。消委会去年9月曾交代，电脑系统遭黑客入侵，被勒索50万至70万美元赎金，现职员工、前员工、家属、《选择》月刊订购户及投诉人等的资料可能外泄。2024-05-0211:07:17(1)

黄凤娴称或有待电脑黑客「撕票」后才掌握哪些资料外泄

黄凤娴称或有待电脑黑客「撕票」后才掌握哪些资料外泄消委会电脑系统被黑客入侵，勒索50万至70万美元赎金，消委会已报警，并向个人资料私隐专员公署备案。消委会说，勒索软件已盗取消委会部分内部资料，正深入调查是否涉及个人资料外泄，未来数天会接触可能受影响人士。消委会总干事黄凤娴表示，绝对不会交付赎金，可能要等待「撕票」后才可确实掌握有何资料外泄，目前风险评估显示，或涉4类人士，包括员工和前员工及其家属、《选择》月刊8千订购户、投诉人资料及合作伙伴等，提醒相关人士提高警惕。她强调，消委会有投放资源提升网络安全，包括在市场采购最佳作业模式的保安系统，但由于黑客无孔不入，手法层出不穷，因此难以做到「防弹不被入侵」。消委会主席陈锦荣表示，事件不涉及个别员工点击网络钓鱼，而是牵涉网络安全问题。对于是否与数码港事件相似，陈锦荣说不掌握。他又说，在有关事件发生后，消委会曾内部讨论网络安全问题，并即时提高警觉及检视系统，但仍然发生事故，需要汲取教训，保安系统要与时并进。被问到涉及甚么黑客组织和勒索软件，陈锦荣表示，不知道是甚么组织，消委会已报警，警方会调查，消委会不方便透露掌握的资料。2023-09-2212:07:37

方保侨吁公私营机构尽快及长期提升电脑系统保安水平

方保侨吁公私营机构尽快及长期提升电脑系统保安水平消委会电脑系统遭黑客入侵，被勒索50万至70万美元赎金，员工、前员工、家属、《选择》月刊8000订购户、及投诉人等的资料可能外泄。香港资讯科技商会荣誉会长方保侨认为，事件除了反映消委会本身系统有漏洞外，接连有公营机构遭黑客入侵，亦敲响警号，因为公营机构保安应该比正常好，有较高防线，但仍有机会被黑客入侵。他呼吁所有的公营及私营机构，尽快提升电脑系统保安水平，而不是一次过，亦要长期做，可能是几个月至半年做一次，要不断更新所有系统和网络保安。他建议相关机构要把数据加密，可以把损害减低，亦要将重要及相对不重要的数据分开储存。对于消委会表明拒绝交赎金，方保侨表示，认同不要交赎金，也相信大部分被黑客入侵的公营机构也不会交赎金。他建议消委会尽快找出受影响范围，究竟哪些数据受干扰，一旦被公开，亦要尽快通知受害人，让他们提高警觉。2023-09-2215:56:09(1)

选择月刊讲述系统被侵始末　称没证据指个人资料被盗用

选择月刊讲述系统被侵始末称没证据指个人资料被盗用消委会《选择》月刊发重要通告，指消委会电脑系统9月19日晚上受恶意勒索软体攻击，近八成受损，投诉及《选择》月刊订阅热线服务一度中止，网上格价工具资讯更新亦受影响，强调服务已恢复正常。通告表示，勒索软体声称从系统中获取部分数据，包括员工和客户，以及其他内部记录文件。系统被入侵7个多小时，当时数据流量较正常高。通告内指出，已即时采取行动，加强系统安全措施，防止黑客再次入侵，已向警方报案，并同时向个人资料私隐专员公署备案。通告强调，没有证据显示有个人资料被盗用，但消委会未能确实排除有个人资料已被盗取的可能，强调消委会不存有信用卡的完整号码、有效日期及卡背上安全码号码等资料，促请受影响人士定期变更线上帐户密码，启用多重验证及留意帐户有没有不寻常登入或讯息等。2023-09-2401:30:26(2)

消委会：已采取行动纠正委托专家检查　未确定黑客获帐户凭证原因

消委会：已采取行动纠正委托专家检查未确定黑客获帐户凭证原因个人资料私隐专员公署完成有关消委会资料外泄事故的调查，认为事故由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定，私隐专员已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。消委会回应，对于公署指出的不足之处和提出的建议深表重视，在事故发生后已积极采取即时行动纠正问题，包括为远端存取资料启用多重要素认证（MFA）功能、全面检视网络安全方案的功能及作出妥善设定，以及进一步加强内部培训以提升员工对网络安全的意识和行为。消委会亦正完善其资讯科技政策和工作指引，同时正委托威胁侦测与应变服务供应商，以加强抵御网络保安威胁的能力。消委会又指，已委托鉴证专家检查系统，结果显示黑客非法挪用具管理员权限的帐户凭证，并通过安全资料传输层虚拟私人网路入侵消委会电脑系统，尽管鉴证专家及消委会通过不同技术及多角度进行调查，但未能确定黑客获得凭证的原因，强调有关帐户一向采用复杂密码、未曾受到暴力攻击，帐户凭证亦未有在暗网出现，受影响的资料少于1.5GB。消委会说，受影响的个人资料非常有限，主要涉及289名曾经向消委会递交投诉的人士，亦包括现任和前职员的资料等。调查未能确定资料是否被下载，但根据外聘的暗网监察服务商资料，至目前为止未有发现任何受影响资料被公开。消委会强调，务必在安全至上的原则下，持续提升资讯系统保安系统及数据安全、采取与时并进的保安技术及方案、提升个人资料管理的工作、加强内部培训、资料管理政策及指引，并定期进行测试和检讨以提升网络系统的管治水平。2024-05-0212:18:22(1)