［2026年4月23日］ 又一村花園俱樂部資料外洩　逾9,000名會員及附屬卡持有人個人資料遭黑客入侵

私隱專員公署發表調查報告，交代又一村花園俱樂部於2025年10月爆出的資料外洩事故。當時俱樂部通報指，其存放於伺服器內的俱樂部管理系統遭勒索軟件入侵並加密，系統無法運作，涉及大量會員及附屬卡持有人的個人資料。 又一村花園俱樂部是一所私人、非牟利的社交及康樂機構，負責管理會員資料的系統及所有相關個人資料均集中儲存在涉事伺服器內，由外判服務供應商提供及維護，供應商透過專用遠端存取軟件登入伺服器進行技術支援。

調查顯示，事發時該遠端存取軟件已屬過時版本，存在已知保安漏洞，黑客正是利用這個漏洞竊取外判商的帳戶憑證，繞過防線直接登入存有大量個人資料的伺服器。 報告又指出，伺服器長時間處於登入狀態，俱樂部並未在遠端存取方面加入額外身分認證措施，例如多重認證，令安全性進一步削弱；加上伺服器及端點所使用的防毒軟件和防火牆同樣過時，未能及時偵測及阻截黑客活動，最終釀成事故。

是次外洩事件共影響9,045名資料當事人，包括1,553名活躍會員、1,723名附屬卡持有人、1,313名前會員及4,456名前附屬卡持有人。 受影響的個人資料種類廣泛，涵蓋姓名、香港身份證號碼及／或護照號碼、出生日期、電郵地址、聯絡電話及住址等敏感資料，風險不僅限於騷擾，更可能被用於身分盜用或詐騙。

在事故發生後，俱樂部已通知受影響人士，並陸續採取補救措施，包括停止使用存在漏洞的遠端存取軟件、改為受監控的遠端連線機制、將所有伺服器及端點的防毒軟件及防火牆更新至最新版本，以及把伺服器內存放個人資料的檔案加密，以降低日後資料被非法讀取的風險。 私隱專員公署就事件共進行四次查訊，審視俱樂部提交的技術資料及善後安排，再綜合外洩情況作出裁決。

個人資料私隱專員鍾麗玲指出，多項系統性及技術性缺失是導致今次事故的主因，包括：使用已過時且存在保安漏洞的遠端存取軟件、伺服器遠端連線欠缺用戶身分認證措施、防毒軟件及防火牆版本老化以致防護力不足、整體資訊保安機制流於不足，以及過長時間保留個人資料等。 她認為，俱樂部在外洩事故前，未有採取適當及充分的機構性和技術性保安措施去保障系統內存放的個人資料，未能做到「所有切實可行的步驟」，因此違反《個人資料（私隱）條例》保障資料第4(1)原則下有關個人資料保安的規定。

同時，調查亦發現，俱樂部長期保留部分已不再需要的資料，例如超過7年仍保存逾800名前會員及3,000多名前附屬卡持有人的個人資料，保存期限明顯超過使用目的所需時間。 私隱專員裁定，俱樂部未有採取所有切實可行的步驟確保不會「過長保留」個人資料，違反了保障資料第2(2)原則有關保存期限的要求。 公署已向又一村花園俱樂部發出執行通知，指示其糾正違規，包括檢討及更新資訊保安政策和程序、完善存取控制及認證機制、制訂明確的資料保留及刪除政策，並採取措施防止類似事件重演。

鍾麗玲強調，會員及客戶資料庫往往載有大量且最新的個人資料，自然成為黑客鎖定的高價值目標，一旦被入侵，往往會涉及大規模資料外洩並被流入黑市用作不法用途。 她提醒所有持有大量會員或客戶資料的機構，必須視相關資料為關鍵資產，主動為資訊系統進行安全風險評估及定期檢視防護措施的成效，並投放足夠資源在系統更新、員工培訓及監察機制上，方能符合《私隱條例》規定，亦符合資料當事人對資料安全的合理期望。

🔽全面覆蓋最新港聞🔽

知多些，睇晒全文➡官方網頁: https://www.cvrhk.com

支持全民小店《維瓦》:https://volvahk2021.wixsite.com/volvahk

店舖地址：旺角西洋菜南街銀城廣場地庫B31號舖

有動感有聲音➡YOUTUBE頻道: https://www.youtube.com/@CVRHK

追蹤每日動態➡Facebook專頁: https://www.facebook.com/cvrhk

Whatsapp頻道➡全民新聞 CVRHK

簡單睇➡全民新聞 (@cvrhk_news) on Threads & IG