【數碼港資料外洩】私隱公署調查指涉5項缺失兼違規 指示兩個月內糾正

社會

發布時間: 2024/04/02 11:49

最後更新: 2024/04/02 23:39

分享:

分享:

個人資料私隱專員公署發表數碼港資料外洩事故的調查報告。(左起)高級個人資料主任(合規及查詢) 盧浩榮、個人資料隱私專員鐘麗玲。(王韻青攝)

數碼港去年8月遭黑客組織Trigona入侵,超過400GB個人資料被盜及外洩,逾1.3萬人受影響,當中約4成為求職者及已離職僱員。個人資料私隱專員公署今日(2日)發表事故調查報告,揭數碼港涉5大缺失,包括無法有效偵測黑客入侵、不必要地保留個人資料等,最長有資料由2016年保留至事故發生。

私隱專員鍾麗玲指,數碼港違反《私隱條例》保障資料原則規定,上周四(3月28日)已送達執行通知指示糾正,數碼港須由執行通知日期起計兩個月內,即5月26日或之前向專員提供文件,證明已完成有關指示。

根據公署調查所得,黑客在去年8月6日透過「暴力攻擊」,即不斷撞密碼,取得具管理員權限的帳戶,進入數碼港網站,期後再取得另外3個具管理員權限的帳戶控制權,並成功關閉反惡意軟件功能。數碼港伺服器內的檔案在同月14日遭勒索軟件攻擊及惡意加密,數碼港採取補救行動,至17日接獲黑客勒索信息,翌日檔案再被攻擊。

公署又引述數碼港委聘的網絡安全專家調查報告指,網絡攻擊起因是由於黑客取得數碼港一個具管理員權限的帳戶憑證,並透過遠端桌面連接進入網絡,13個Windows系統及2台虛擬伺服器被入侵。共13,632人受影響,包括近8,000名與僱傭有關的人士,其中5,292名求職者及離職僱員的個人資料被保留超過期限,涉及資料包括姓名、身份證號碼、部分人銀行帳戶號碼等。

鍾麗玲稱事故由5大缺失導致,包括資訊系統欠缺有效偵測措施,僅依賴1款反惡意軟件來偵測異常活動,形容是「明顯不足夠及不成比例。」對資訊系統進行的保安審計亦不足,每兩年才做1次,事發前最近1次已為2021年底,相隔逾19個月,又沒有規定在其中一個受影響系統啟用前,作風險評估或獨立保安審計,「是明顯缺失。」

另沒有為遠端存取資料啟用多重認證功能,以核實獲授權可遠端登人數碼港網絡的用戶身分;數碼港資訊保安政策亦有欠具體,未能讓員工有具體網絡保安框架可依循。

她續稱數碼港資料保留政策列明,求職者資料只會保留1年,僱員資料則只在受僱期間保留,但調查發現部分資料最長由2016年保留至事故發生,而數碼港未能解釋原因。

點擊圖片放大
+3
+2

她認為數碼港是一間具規模的機構,恆常持有並處理大量不同人士的個人資料,持份者及公眾會合理地期望數碼港投入足夠資源確保資訊系統及數據安全。惟數碼港在事故發生前,未有採取足夠及有效措施以保障其資訊系統安全,亦未有及時根據其資料保留政策刪除已屆保存期限的資料,裁定違反《私隱條例》保障資料第4(1)及第2(2)原則有關個人資料保安和保留的規定,已送達執行通知指示糾正。

公署至今就事件收到65宗查詢及33宗投訴,鍾麗玲說在《私隱條例》第66條下,資料當事人如因有人違反該條例的規定而蒙受損失,可要求賠償,但須提供證據,公署可提供法律意見、調解和協助索償等服務。 

下載HKET App,追蹤TOPick WhatsApp頻道,睇全方位資訊:

【中下學試題免費下載】  【名校專區升學攻略】

【食物安全超市大搜查】  【職場智慧求生術】

記者:梁薾心