个人资料私隐专员公署今日（23日）发表资料外泄事故调查报告，又一村花园俱乐部去年10月31日向公署通报其伺服器管理系统档案，遭勒索软件加密而无法运作。公署调查发现有9,045人受影响，外泄资料包括名称、香港身份证号码／护照号码、出生日期、电邮地址、联络电话及居住地址。

调查报告指事件由多个因素造成，事发时俱乐部使用的远端存取软件属过时版本，黑客利用保安漏洞成功窃取服务供应商的帐户凭证，从而直接进入伺服器，俱乐部亦无实施额外的身份认证措施；而防毒软件及防火墙均已过时，未能侦测及阻止黑客活动。

公署经考虑后认为事件属又一村花园俱乐部的缺失，裁定违反《私隐条例》有关个人资料保安及保存期限的规定。

又一村花园俱乐部成立于1989年，为一间私人及非牟利的社交及康乐机构，占地7万平方呎，专门为会员及宾客提供康乐设施及餐饮服务。个人资料私隐专员钟丽玲表示，去年10月31日接获俱乐部的通报，指其伺服器管理系统档案，遭受到勒索软件加密而无法运作。

9045人资料外泄　涉身份证号码及居住地址等

有关伺服器系统负责管理俱乐部的会员资料，所有相关个人资料都储存在伺服器内，由外判供应商负责提供及维护，并透过专用的远端存取软件连接伺服器，以提供技术支援。

最终外泄事件共有9,045人受影响，包括1,553名活跃会员、1,723名附属卡持有人、1,313名前会员，以及4,456名前附属卡持有人，涉及会员及附属卡持有人名称、香港身份证号码／护照号码、出生日期、电邮地址、联络电话及居住地址。

调查揭俱乐部远端存取软件及防毒软件过时　登入无身份认证措施

钟丽玲指，调查发现事件由多个因素造成，事发时远端存取软件属过时版本，存在已知保安漏洞，黑客正利用该漏洞成功窃取服务供应商的帐户凭证，即帐号及密码，直接进入伺服器；同时伺服器长时间保持登入状态，俱乐部并无实施额外的身份认证措施；而俱乐部的防毒软件及防火墙均已过时，未能侦测及阻止黑客活动。

又一村花园俱乐部泄个人资料事故5大主因

．使用已过时并存在保安漏洞的远端存取软件
．伺服器的远端存取欠缺用户身分认证措施
．使用已过时的防毒软件及防火墙
．欠缺资讯保安的机构性措施
．过长地保留个人资料

会藉取消后会员及附属卡资料保存时间超过七年

助理个人资料私隐专员（合规、环球事务及研究）陈仲文指，俱乐部承认防毒软件的版本过时，解释相关做法基于操作便利及沿用旧有操作模式，以便服务供应商可即时提供技术远端支援。

陈仲文续指，俱乐部解释基于法定财务记录保存要求、查核会员复会的申请，以及处理过往帐单争议需求，会员及附属卡资料在会藉取消后保留7年，惟公署调查发现保存时间已超过7年。

私隐公署对事件感失望　裁定俱乐部违反《私隐条例》两项规定

公署就外泄事件进行四次查讯，审视了俱乐部提供的资料、跟进及补救工作。钟丽玲对事件感到失望，经考虑后认为事件属又一村花园俱乐部的缺失，裁定违反《私隐条例》有关个人资料保安及保存期限的规定，并向俱乐部送达执行通知，指示采取措施以纠正违规事项，防止类似违规情况再次发生。

钟丽玲又指，为进一步加强机构数据安全，由今日开始推出数据安全套餐，参加机构可免费进行数据安全快测，以评估资讯系统的安全措施是否足够，完成快测后可获5个免费名额，参加公署举办的讲座及研习班。