消委會電腦系統遭黑客入侵 私隱專員籲強化網絡安全
去年9月,消委會電腦系統遭黑客以勒索軟件入侵,私隱專員公署發表調查報告指出,疫情期間實施在家工作,消委會允許員工透過VPN連接內部網絡,但未啟用多重認證。這一安排未在結束在家工作後取消,成為被黑客入侵的主因。此次事件中,有450人的個人資料外洩,包括近300名投訴人的姓名、手機號碼、地址、電郵地址及投訴性質。
調查顯示,黑客通過管理員帳戶的憑證進入消委會網絡,攻擊伺服器及端點裝置。儘管消委會從2020年起使用網絡安全軟件,事件中軟件未能攔截黑客或啟動警報。部分資料被儲存在未設網絡安全軟件的測試伺服器上,顯示有人為錯誤或疏忽。
公署向消委會發出執行通知,要求兩個月內糾正,包括為所有遙距存取系統實施多重認證,定期檢視遙距存取權限,並確保員工遵循資訊保安政策。私隱專員鍾麗玲強調,在家工作涉及遙距登入需特別注意網絡安全,呼籲各機構勿在資訊系統保安上節省成本。
攝:Gordon Choi
文:Kevin Li
#TMHK20240502