消費者委員會(消委會)於 2023 年 9 月 20 日早上發現電腦系統遭到黑客入侵,消委會隨即處理此事故,並向警方報案。同時,消委會主動通報個人資料私隱專員公署(私隱專員公署),並在過去半年提供大量相關資料,全力配合調查工作。私隱專員公署已完成調查並於今日發表報告。
消委會表示,受影響的個人資料非常有限,主要涉及 289名曾經向消委會遞交投訴的人士。有關資料載於一份用作投訴數據分析的試算表,當中包括姓名及主要聯絡方法,並不涉及信用卡、銀行帳戶及財務資料。此外,有關資料亦包括載於消委會內部職員名錄的 138 名現任職員及 24 名前職員的姓名、所屬部門及辦公室電話;載於消委會一份草擬招標書中的一位職員的聯絡資料;及載於消委會資訊科技服務供應商名錄的 26 名員工聯絡資料,而此三份檔案分別載於兩位職員的工作電腦。調查未能確定相關資料是否被下載,但根據外聘的暗網監察服務商的資料,至目前為止未有發現任何受影響的消委會資料被公開。
消委會稱一向重視網絡安全,並採取不同措施提升系統保安。在遭黑客入侵後,消委會在委員會的指導和監察下,採取一系列的應對行動及進一步加強系統保安措施。這包括在發現事故後即時採取相關遏制行動,以保護並恢復資訊科技系統;根據風險評估,在 48 小時內舉行新聞發布會主動公布事件和呼籲所有可能受影響人士要提高警覺,隨後再發出個別通知和網絡安全提示。
消委會對於私隱專員公署指出其在個人資料保障方面的不足之處和提出的具體建議深表重視,並已在事故發生後積極採取即時行動糾正問題。消委會將持續提升資訊系統保安系統及數據安全,採取與時並進的保安技術及方案,提升個人資料管理的工作,加強內部培訓,資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。消委會再次強烈譴責黑客在未經授權下進入其電腦系統及取覽資料的非法行為,並對受影響的人士深表歉意。
