數碼港去年8月遭黑客入侵,導致1.3萬名人士個人資料外洩。事隔逾半年,私隱專員公署今日(2日)發表調查報告,表示數碼港未有採取足夠措施保障個人資料,包括未有刪除已過保存期限的個人資料,令逾5,200名受影響人士資料被不必要保留。私隱專員鍾麗玲認為,數碼港是一間具規模的機構,卻未有投入足夠資源確保資訊安全。公署亦裁定數碼港違反私隱條例規定,並已發出執行通知。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
根據調查,公署認為是次資料外洩事故是基於數碼港的5項缺失,分別為資訊系統欠缺有效偵測措施、沒有為遠端存取資料啟用多重認證功能、對資訊系統進行的保安審計不足、資訊保安政策有欠具體及個人資料被不必要地保留。
鍾麗玲表示,作為一間具規模的機構,數碼港須恆常地持有並處理大量不同人士的個人資料,因此持份者及公眾會合理地期望數碼港投入足夠資源,確保其資訊系統及數據的安全。惟事件中,數碼港資訊系統欠缺有效的偵測措施,導致未能有效地偵測黑客以暴力攻擊其資訊系統,亦令黑客成功獲取具管理員權限的帳戶憑證,繼而進行勒索軟件攻擊及竊取儲存於系統內的個人資料。
另外,她又指數碼港沒有為遠端存取資料啟用多重認證功能,以核實獲授權可遠端登入數碼港網絡的用戶身分,導致黑客能利用獲取的帳戶憑證,透過遠端桌面連接進入數碼港的網絡,竊取個人資料。
至於資訊系統上,鍾麗玲指數碼港的保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險;加上資訊保安政策欠具體,令員工未能依循具體網絡保安框架行事。
至於資訊系統上,鍾麗玲指數碼港的保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險;加上資訊保安政策欠具體,令員工未能依循具體網絡保安框架行事。
事件導致13,632人的個人資料外洩,當中有5,292名求職者及已離職僱員,其個人資料保留期限已屆滿,惟數碼港並未有按要求刪除,佔受影響人士的約4成。鍾麗玲指,由於數碼港沒有根據資料保留政策,在保留期屆滿後刪除收集的個人資料,導致部分人的個人資料被不必要地保留,從而受禍及。
公署亦指,就今次事件,已裁定數碼港違反私隱條例規定,並向其發出執行通知。數碼港須兩個月內提交證據,證明已執行有關指令。
調查報告亦交代事件經過,指黑客組織「Trigona」在8月6日以暴力攻擊形式,透露製造大量密碼進入系統,取得一個具管理員權限的帳戶,從而進入數碼港網絡。其後,黑客再取得另外3個具管理員權限的帳戶控制權,並停止系統內的反惡意軟件功能。
至8月14日,數碼港遭受到勒索軟件攻擊及惡意加密,數碼港雖嘗試更改所有帳戶密碼作補救,惟數日後仍收到黑客勒索,要求數碼港支付贖金,為已被加密的檔案解鎖。而涉及超過400GB資料,包括姓名、護照號碼、聯絡資料、銀行帳戶號碼、醫療報告、照片、社交媒體帳戶資料等。
