香港乐施会去年发生资料外泄事故，导致55万人个资被外泄，调查指过时防火墙存在严重漏洞是主要原因。

综合香港《明报》和网媒“香港01”报道，香港乐施会去年7月13日向私隐专员公署通报资料外泄事故，指乐施会遭勒索软件攻击，资讯系统因而受到影响。

香港私隐专员公署星期四（1月23日）公布乐施会资料外泄事故的调查结果，指出共有37台服务器及24台工作电脑／手机电脑被入侵，330GB数据被窃取，约55万人资料外泄。

此次外泄事件涉及捐款者、活动参加者、义工、项目伙伴、项目参与者、项目顾问、现职及离职雇员、求职者及管治成员的个人资料，包括姓名、身份证号码／副本、护照号码／副本、出生日期、电话号码、电邮地址、信用卡号码及银行账户号码等。

私隐专员锺丽玲指出，经调查发现外泄事件发生的主因包括：过时防火墙存在严重漏洞、未启用多重认证功能、没有对服务器进行关键保安修补、资讯系统欠缺有效侦测措施、过长保存个人资料等。

私隐公署首席个人资料主任郭正熙指出，乐施会防火墙的两项严重漏洞的修补程序已分别于2023年6月及2024年2月发布，但乐施会自2023年6月以来，没有对防火墙进行任何修补或更新，令黑客有机可乘。

他还说，乐施会过长保存个人资料，七年前参与乐施会活动的约4000名参与者的个人资料，以及七年前已卸下职务的50名顾问身份证号码及履历等资料都被保存至今。

锺丽玲认为，乐施会是一个大规模机构，但该组织事发前未采取足够及有效措施保障资讯系统安全，也未制订有效机制适时销毁超过保存期限的个人资料，导致外泄事件发生，令人遗憾。

私隐专员裁定乐施会已违反《私隐条例》，并向乐施会送达执行通知，指示采取措施以纠正违规事项，防止类似违规情况再次发生。