南華會資料外洩違例　私隱公署揭沒密碼錯誤鎖定功能　黑客兩日曾登入失敗逾4萬次

【有線新聞】私隱專員公署公布3月南華會7萬多名會員個人資料外洩調查結果，認為是伺服器意外曝露在互聯網及管方欠缺有效偵測措施所致，裁定違反私隱條例規定。
私隱專員公署指，黑客2022年1月已經在南華會一台連接互聯網的伺服器安裝惡意程式，到今年3月入侵南華會網絡，安裝遠端控制軟件並展開攻擊，最終透過勒索軟件將載有會員個人資料檔案加密，南華會至今未按要求支付贖金解鎖。私隱專員批評南華會保障個人資料意識薄弱。
個人資料私隱專員鍾麗玲：「感到非常失望，如果南華會2022年，即事發前兩年，在黑客最初入侵系統時，有足夠偵測措施或者警示工具，監察伺服器不尋常活動，南華會有相當機會在黑客入侵初期察覺惡意活動，並且採取適當措施。」
公署又指涉事伺服器連接互聯網如同為黑客打開大門，而南華會未啟用密碼嘗試失敗鎖定功能，黑客即使連續兩天4萬次登入失敗亦未能阻止，亦未為管理員帳戶啟用多重認證。私隱專員公署署理首席個人資料主任郭正熙：「黑客毋須經其他身份實核程序，進入伺服器操作系統，進行各種惡意活動，亦加密會員個人資料。我們角度來看，機構應該合理採取較嚴謹保安措施，包括實施多重認證功能，為帳戶提供額外防禦，從而避免未獲授權人士可以透過這些帳戶入侵個人資料系統。」
公署裁定南華會違反私隱條例，發出執行通知。包括制訂政策措施，每年最少一次審視個人資料系統連接至互聯網的必要性、定期檢視更新偵測警示工具有效性、為遙距存取個人資料系統帳戶實施多重身份認證及聘請獨立專家，每年最少一次風險評估及保安審計，兩個月內開始執行。