消费者委员会(消委会)于2023年9月20日早上发现电脑系统遭入侵,随即以迅速、负责任及具透明度的方式处理事故。除了向警方报案,消委会亦同时主动通报个人资料私隐专员公署(私隐专员公署),并于过去半年一直提供大量相关资料和全力配合有关方面的调查工作。私隐专员公署已经完成其调查并于今日发表报告。
消委会一向十分重视网络安全和采取不同措施提升系统保安。在遭黑客入侵后,消委会在委员会的指导和监察下,采取一系列的应对行动及进一步加强系统保安措施,包括:
- 在发现事故后,即时采取相关遏制行动,以保护并恢复资讯科技系统;
- 根据风险评估,在48小时内举行新闻发布会主动公布事件和呼吁所有可能受影响人士要提高警觉,随后再发出个别通知和网络安全提示;
- 委托鉴证专家检查系统,深入调查事件起因和资料是否有被盗取,并根据专家意见作出遏制和强化行动,加强资讯科技保安措施以防止黑客再次入侵;
- 再三确认鉴证调查结果后,以负责任的态度向受影响人士发出个别通知,及向不受影响的人士发出更新通知以释疑虑;
- 委托服务商全天候监察暗网,以便第一时间知悉是否有被盗取的资料被公开。
鉴证调查结果显示,黑客非法挪用具管理员权限的帐户凭证,并通过安全资料传输层虚拟私人网路(SSL VPN)入侵消委会电脑系统。尽管鉴证专家及消委会通过不同技术及多角度进行调查,惟未能确定黑客获得凭证的原因。然而可以确定的是,有关帐户一向采用复杂密码、未曾受到暴力攻击 (brute-forcing),该帐户凭证亦未有在暗网出现。根据相关SSL VPN流量,受影响的资料少于1.5GB,而该流量包含黑客进行网路扫描或透过图形介面进行远端管理控制所产生的流量。
整体而言,受影响的个人资料非常有限,主要涉及289名曾经向消委会递交投诉的人士。有关资料载于一份用作投诉数据分析的试算表,当中包括姓名及主要联络方法,例如电话、电邮地址或地址,并不涉及信用卡、银行帐户及财务资料。此外,有关资料亦包括载于消委会内部职员名录的138名现任职员及24名前职员的姓名、所属部门及办公室电话;载于消委会一份草拟招标书中的一位职员的联络资料;及载于消委会资讯科技服务供应商名录的26名员工联络资料,而此三份档案分别载于两位职员的工作电脑。调查未能确定相关资料是否被下载,但根据外聘的暗网监察服务商的资料,至目前为止未有发现任何受影响的消委会资料被公开。
就私隐专员公署指出消委会在个人资料保障方面的不足之处和提出的具体建议,消委会深表重视,在事故发生后已积极采取即时行动纠正问题,当中包括为远端存取资料启用多重要素认证(MFA)功能、全面检视网络安全方案的功能及作出妥善设定,及进一步加强内部培训以提升员工对网络安全的意识和行为。消委会亦正完善其资讯科技政策和工作指引,同时正委托威胁侦测与应变服务供应商,以加强抵御网络保安威胁的能力。
网络安全风险所带来的挑战与日俱增。消委会务必在安全至上的原则下,持续提升资讯系统保安系统及数据安全、采取与时并进的保安技术及方案、提升个人资料管理的工作、加强内部培训、资料管理政策及指引,并定期进行测试和检讨以提升网络系统的管治水平。
消委会再次强烈谴责黑客在未经授权下进入其电脑系统及取览资料的非法行为,并对受影响的人士深表歉意。