消委会电脑系统遭黑客入侵　员工及月刊订户资料或被盗

消委会电脑系统遭黑客入侵员工及月刊订户资料或被盗消委会确认电脑系统前日被黑客入侵7小时，勒索50万至70万美元赎金，已就事件报警，并向个人资料私隐专员公署备案。消委会说，勒索软件已从电脑系统盗取某些内部资料，包括员工及客户数据以及其他内部纪录，正深入调查是否涉及个人资料外泄，未来数天会接触可能受影响人士。消委会主席陈锦荣说，未能确认被盗取的资料可能涉及4个类别，包括员工、前员工、家人及空缺申请者的资料，例如身份证资料、住址、出生日期及履职；8千个选择月刊订户，涉及信用卡资料；投诉人资料；合作伙伴，包括公司地址、电话及电邮等。消委会强烈谴责黑客，强调绝对不会交付赎金，会全力配合警方调查工作，期望将有关人士绳之于法。消委会对今次事件引起市民带来不便，深表歉意。2023-09-2210:18:17(2)

私隐专员公署：消委会没采切实可行步骤保障个人资料

#港闻【Now新闻台】消委会去年9月疑遭黑客勒索，超过450人资料外泄。私隐专员公署认为消委会没有采取切实可行步骤保障个人资料。公署指，消委会没有为远端存取启用多重认证功能，导致黑客能利用获取的帐户进行勒索软件攻击，同时没有妥善设定用作侦测及拦截网络安全威胁的网络安全软件，亦欠缺足够保安措施，禁止或防止于测试伺服器内储存个人资料。公署认为消委会在保障个人资料私隐及网络安全意识不足，已向他们发出执行通知，要求实施遥距使用者多重身份认证等措施。

黄凤娴：就黑客事件收逾百查询　暂未知可能受影响人数

黄凤娴：就黑客事件收逾百查询暂未知可能受影响人数消委会总干事黄凤娴表示，已就电脑系统遭黑客入侵事件向可能受影响人士发出约25000个通知，收到超过100个查询，主要是关注以信用卡订阅《选择》月刊应如何处理等，暂时未收到赔偿要求。黄凤娴在本台节目《千禧年代》说，暂时仍未知道可能受资料外泄影响的人数，有待鉴证专家报告。但为安全计，消委会已尽量透过手上有的资料用不同方法联络可能受影响人士、早前参与投票活动的市民及一些合作伙伴，主要是提醒他们保持警觉，对任何可疑连结切勿理会。黄凤娴又说，消委会一直重视网络安全，平时亦有做安全测试及员工培训等，但黑客无孔不入，消委会也是受害者，目前消委会内部一些系统已重建复常，但处理个案投诉的系统仍未修复，会稍为延误。2023-09-2509:13:27

私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正

私隐公署：消委会缺失致450人资料外泄涉违规已指示纠正个人资料私隐专员公署完成有关消委会资料外泄事故的调查，私隐专员钟丽玲表示，事故是由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定。她已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。钟丽玲指出，消委会的缺失包括没有为远端存取资料启用多重认证功能、没有妥善设定用作侦测及拦截网路安全威胁的软件、欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料、资讯保安政策有欠全面及具体，以及保障个人资料私隐及网络安全意识不足。私隐专员公署提出多项建议，以减低资讯系统被攻击的风险，包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网路保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效的培训计划，加强员工对资料私隐的意识和能力。公署说，消委会资料外泄事故涉及超过450人，包括投诉人、资讯科技服务供应商员工，以及消委会现职和前员工的个人资料。消委会去年9月曾交代，电脑系统遭黑客入侵，被勒索50万至70万美元赎金，现职员工、前员工、家属、《选择》月刊订购户及投诉人等的资料可能外泄。2024-05-0211:07:17(1)

私隐公署称在家工作属新常态　因涉遥距登入吁机构加强加密保障

私隐公署称在家工作属新常态因涉遥距登入吁机构加强加密保障消委会电脑系统去年被黑客以勒索软件攻击，导致部分系统受破坏，勒索数十万美元赎金。个人资料私隐专员公署完成调查事件，认为消委会有数项缺失，导致超过450人的资料外泄，违反私隐条例规定，已指示消委会纠正及防止类似情况再发生，消委会要在两个月内证明完成有关指示。调查显示，有黑客组织取得消委会一个有管理员权限的帐户凭证，透过虚拟私有网络（VPN）进入消委会的网络，再以勒索软件攻击伺服器，导致93个系统遭到恶意加密，伺服器及员工电脑等端点装置被入侵。私隐专员钟丽玲指出，疫情期间消委会安排员工「在家工作」，允许员工远端连接网络，而未有启用多重认证功能是导致事件的重要原因，若果消委会有设定多重认证，核实帐户的用户身份，相信可以阻止黑客进入系统，避免随后的勒索攻击。钟丽玲表示，在家工作是新常态，机构必须注意网络安全，尤其因为涉及遥距登入，要考虑加强加密保障。她说，市面上有很多双重认证的软件，设定简单，安全性很高。公署的调查又发现，消委会负责网络安全的员工离职后，没有启动侦测及拦截网络威胁的警报设定，导致系统侦测到网络安全威胁后未有发送警报电邮；一名前资讯科技部员工亦没有按政策规定，于系统设定复杂密码。2024-05-0212:51:41

私隐公署称机电署资料外泄事态严重将启动调查　暂未接获投诉

私隐公署称机电署资料外泄事态严重将启动调查暂未接获投诉机电署一个收录了17000名市民个人资料的网上伺服器平台，密码登入系统失效，可在毋须输入密码情况下浏览，涉及机电署2022年执行「围封强检」行动收集的资料，包括住户联络电话、身份证号码及住址等资料。个人资料私隐专员钟丽玲在本台节目《千禧年代》形容事态严重，涉及人数比较多，私隐专员公署将根据正常程序启动调查，已建议机电署尽快通知受影响人士，署方暂时未收到市民投诉。另外，消委会的电脑系统去年遭黑客攻击勒索，公署认为是消委会的缺失，导致超过450人的个人资料外泄，违反私隐条例规定。钟丽玲表示，事发时，消委会将有关个人资料放在测试伺服器，涉及人为错误。钟丽玲又说，疫情期间，消委会职员「在家工作」透过远端存取资料时，没有使用多重认证功能，因为当时员工对加装应用程式有声音，消委会资讯科技人手亦不足。她强调，采用多重认证，成本及技术不是很高，若有关机构不够人手，可外聘专家，若有需要亦可联络公署提供协助。钟丽玲又鼓励其他机构，设置妥当网络安全软件，并启动所有功能，否则会令软件失效。2024-05-0310:11:03