【明報專訊】又一村花園俱樂部會員資料管理系統所連接的遠端存取軟件，因過時造成保安漏洞，導致9045名新舊會員資料遭外泄。私隱專員鍾麗玲裁定俱樂部違反《私隱條例》，已送達執行通知，要求即時採取糾正措施。俱樂部昨日稱，至今未發現任何受影響資料被公開；已按公署要求實施各項維護私隱安全改善措施。

又一村俱樂部使用相關系統儲存會員資料於伺服器，由外判服務供應商負責提供及維護系統，並以遠端存取軟件連接伺服器。俱樂部去年10月31日向公署通報資料外泄事故，指存於伺服器的管理系統檔案遭勒索軟件加密而無法運作。事故涉1553名活躍會員、1723名附屬卡持有人、1313名前會員及4456名前附屬卡持有人；受影響個人資料包括姓名、身分證號碼及/或護照號碼、出生日期、電郵地址、聯絡電話及地址。

無多重認證 遭勒索軟件加密

公署查訊4次，發現軟件開發商去年1月已發出保安警報，惟服務供應商並不知悉；而俱樂部及服務供應商均未為相關軟件建立任何保安更新或修補機制。事發時，該軟件並無多重認證功能，加上防火牆及防毒軟件均過時，令黑客能在毋須認證下，憑已竊取的憑證經該軟件進入系統。公署又發現，888名前會員及3321名前附屬卡持有人資料被儲存逾7年，超出俱樂部法定財務紀錄保存要求。

鍾麗玲對事故表示失望，認為俱樂部無採取所有切實可行步驟，確保資料受保障及保存時間不超過實際所需，要求兩個月內提交文件證明已採取保安措施。

俱樂部道歉 稱無資料被公開

俱樂部昨日在網站發文就事件致歉，稱事後已即時跟進，包括即時停用涉事遙距存取軟件；升級網絡防護設備，加密個人資料檔案及實施授權與監察機制。至於資料保留期限，俱樂部表示正落實更嚴謹的資料保留及銷毁政策，不再保留非必要或超過法定要求的資料。

醫局病人資料外泄 收6投訴

另外，醫管局九龍東聯網逾5.6萬名病人資料外泄事件，公署表示，截至本周二（21日）接到6宗投訴和8宗查詢，已與相關機構代表開會，要求他們提交資料及了解跟進情况和補救措施，目前仍在調查。

公署昨並發布《保護兒童網上私隱——給家長及老師的實用貼士》（見表），建議師長協助兒童在網上保障其個人資料。

■明報報料熱線﹕inews@mingpao.com / 9181 4676