個人資料私隱專員公署今日（23日）發表資料外泄事故調查報告，又一村花園俱樂部去年10月31日向公署通報其伺服器管理系統檔案，遭勒索軟件加密而無法運作。公署調查發現有9,045人受影響，外泄資料包括名稱、香港身份證號碼／護照號碼、出生日期、電郵地址、聯絡電話及居住地址。

調查報告指事件由多個因素造成，事發時俱樂部使用的遠端存取軟件屬過時版本，駭客利用保安漏洞成功竊取服務供應商的帳戶憑證，從而直接進入伺服器，俱樂部亦無實施額外的身份認證措施；而防毒軟件及防火牆均已過時，未能偵測及阻止黑客活動。

公署經考慮後認為事件屬又一村花園俱樂部的缺失，裁定違反《私隱條例》有關個人資料保安及保存期限的規定。

又一村花園俱樂部成立於1989年，為一間私人及非牟利的社交及康樂機構，佔地7萬平方呎，專門為會員及賓客提供康樂設施及餐飲服務。個人資料私隱專員鍾麗玲表示，去年10月31日接獲俱樂部的通報，指其伺服器管理系統檔案，遭受到勒索軟件加密而無法運作。

9045人資料外泄　涉身份證號碼及居住地址等

有關伺服器系統負責管理俱樂部的會員資料，所有相關個人資料都儲存在伺服器內，由外判供應商負責提供及維護，並透過專用的遠端存取軟件連接伺服器，以提供技術支援。

最終外泄事件共有9,045人受影響，包括1,553名活躍會員、1,723名附屬卡持有人、1,313名前會員，以及4,456名前附屬卡持有人，涉及會員及附屬卡持有人名稱、香港身份證號碼／護照號碼、出生日期、電郵地址、聯絡電話及居住地址。

調查揭俱樂部遠端存取軟件及防毒軟件過時　登入無身份認證措施

鍾麗玲指，調查發現事件由多個因素造成，事發時遠端存取軟件屬過時版本，存在已知保安漏洞，駭客正利用該漏洞成功竊取服務供應商的帳戶憑證，即帳號及密碼，直接進入伺服器；同時伺服器長時間保持登入狀態，俱樂部並無實施額外的身份認證措施；而俱樂部的防毒軟件及防火牆均已過時，未能偵測及阻止黑客活動。

又一村花園俱樂部泄個人資料事故5大主因

．使用已過時並存在保安漏洞的遠端存取軟件
．伺服器的遠端存取欠缺用戶身分認證措施
．使用已過時的防毒軟件及防火牆
．欠缺資訊保安的機構性措施
．過長地保留個人資料

會藉取消後會員及附屬卡資料保存時間超過七年

助理個人資料私隱專員（合規、環球事務及研究）陳仲文指，俱樂部承認防毒軟件的版本過時，解釋相關做法基於操作便利及沿用舊有操作模式，以便服務供應商可即時提供技術遠端支援。

陳仲文續指，俱樂部解釋基於法定財務記錄保存要求、查核會員復會的申請，以及處理過往帳單爭議需求，會員及附屬卡資料在會藉取消後保留7年，惟公署調查發現保存時間已超過7年。

私隱公署對事件感失望　裁定俱樂部違反《私隱條例》兩項規定

公署就外洩事件進行四次查訊，審視了俱樂部提供的資料、跟進及補救工作。鍾麗玲對事件感到失望，經考慮後認為事件屬又一村花園俱樂部的缺失，裁定違反《私隱條例》有關個人資料保安及保存期限的規定，並向俱樂部送達執行通知，指示採取措施以糾正違規事項，防止類似違規情況再次發生。

鍾麗玲又指，為進一步加強機構數據安全，由今日開始推出數據安全套餐，參加機構可免費進行數據安全快測，以評估資訊系統的安全措施是否足夠，完成快測後可獲5個免費名額，參加公署舉辦的講座及研習班。