消委會資料外洩｜涉投訴人、員工等逾450人　私隱署要求檢視系統保安　兩月內交報告

【有線新聞】個人資料私隱專員公署完成調查消委會資料外洩事故，發現五項缺失，包括沒有為遠端存取資料啟用多重認證，也沒有妥善設定用作偵測及攔截的網絡安全軟件，令到個人資料未受足夠保障，違反個人資料私隱條例，已要求消委會兩個月內糾正和提交報告。

消委會去年9月遭黑客入侵電腦系統和勒索，個人資料私隱專員公署發表調查報告，發現消委會2020年11月為方便員工在家工作，容許員工透過VPN連接消委會網絡，未有啟用多重認證核實身份，直到2022年，取消在家工作安排都沒有啟用，結果黑客利用這個缺口，以一個具管理權限的帳戶憑證進入消委會網絡，惡意加密93個系統，並入侵11個伺服器和端點裝置。

個人資料私隱專員鍾麗玲：「多重認證功能需要在員工裝置額外加裝一些軟件，員工方面有聲音，不想加裝額外軟件。在數碼世界，在家工作安排是一個新趨勢，我希望指出，對機構而言，就算推出在家工作安排，都一定要小心和注意網絡安全。」

消委會有使用偵測和攔截網絡安全威脅的軟件，但調查發現沒有啟動警報功能，最終偵察到黑客威脅，亦沒有發出警報。

調查亦發現，外洩的289名投訴人資料，事發前三個月因為人為錯誤，儲存在測試伺服器。鍾麗玲：「一般來說，考慮到測試伺服器保安措施一般都比較薄弱，我們認為機構不應將真實個人資料，儲存在測試的伺服器內。」

多項失誤最終導致450人姓名、電話、地址等資料外洩，包括投訴人、現職或已離職員工以及資訊科技服務供應商員工。公署要求消委會聘請獨立資訊安全專家，檢視現有系統的保安措施，兩個月內提交報告，證明已落實各項建議。