数码港泄密 5大漏洞捱批

2024-04-03 00:00

数码港电脑系统去年遭黑客入侵,导致逾1.3万人个人资料外泄。个人资料私隐专员公署昨日公布事故调查报告,指事故源于数码港5项缺失,包括资讯系统欠缺有效侦测措施、个人资料被不必要地保留等。私隐专员锺丽玲表示,已将报告及执行通知送达数码港,要求对方在两个月内完成有关纠正指示,之后向公署提交证据,又指如再次违规,将属刑事罪行;公署并建议数码港设立个人资料私隐管理系统,委任保障资料主任,适时对系统进行风险评估,以及适时删除个人资料,防止类似违规再次发生等。
数码港去年向公署通报资料外泄事故,指其电脑系统和档案伺服器被勒索软件攻击和恶意加密,事故导致逾万人的个人资料外泄。私隐专员公署调查后发现,有13632名员工和求职者的个人资料遭泄漏,当中包括5292名求职者的个人资料,部份超过法例容许的保留期限。涉及的个人资料包括姓名、身份证号码、身份证的副本、护照号码,亦有部分人士的财务资料,例如银行帐户号码、医疗报告、照片、雇佣资料,亦有部分人的信用卡资料。锺丽玲形容事件披露的个人资料范围相当大。
逾1.3万人受累  姓名身份证任睇

锺丽玲指,数码港是一间具规模的机构,持有并处理大量人士的个人资料,公众会合理地期望数码港投入足够资源,确保其资讯系统及数据的安全。而数码港没有采取所有切实可行的步骤,确保涉事个人资料受保障而不受未获准许或意外的查阅、处理、删除、丧失或使用所影响,违反《私隐条例》保障资料原则下有关个人资料保安的规定,而在保留个人资料亦违反相关规定,故已向数码港送达执行通知,指示数码港在两个月内纠正其违反的事项。

锺丽玲表示,今次事故是由5个缺失所导致,包括资讯系统欠缺有效的侦测措施;没有为远端存取资料启用多重认证功能;对资讯系统进行的保安审计不足,未能适时应对资讯科技的变化及网络安全的风险;资讯保安政策有欠具体,未让员工有具体框架可依循;以及个人资料被不必要地保留。
过期保留资料  未遵政策无解释

锺解释,事件中约有4成受影响人士、即逾5200人是求职者或是已离职雇员,而根据数码港资料保留政策,只保留求职者资料1年,雇员资料则于相关人士在职时才会保留,但调查发现部分资料远于2016年保留至今,数码港亦未能解释为何未按政策删除资料。

她指,若数码港有按政策和步骤删除资料,受影响的人数会大大减少。

锺丽玲又提到,《私隐条例》下若资料被泄的当事人蒙受损失,可透过民事诉讼索偿,受影响人士须提供证据,如有需要,私隐专员公署会提供法律意见、调解和协助索偿等服务。而事件发生至今,私隐专员公署共收到65宗相关查询及33宗投诉。

自称「Trigona」的黑客组织于去年8月6日透过「暴力攻击」、即以程式「撞密码」的形式攻击,取得一个具有管理员权限的帐户进入数码港的网络,继而再取得另外3个具有管理员权限帐户的控制权,并成功关闭系统反恶意软件的功能,再加密资料勒索。直至去年8月14日,黑客加密系统内的资料,数码港才发觉。

關鍵字

最新回应

相關新聞

You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad