數碼港洩密 5大漏洞捱批
2024-04-03 00:00數碼港電腦系統去年遭黑客入侵,導致逾1.3萬人個人資料外洩。個人資料私隱專員公署昨日公布事故調查報告,指事故源於數碼港5項缺失,包括資訊系統欠缺有效偵測措施、個人資料被不必要地保留等。私隱專員鍾麗玲表示,已將報告及執行通知送達數碼港,要求對方在兩個月內完成有關糾正指示,之後向公署提交證據,又指如再次違規,將屬刑事罪行;公署並建議數碼港設立個人資料私隱管理系統,委任保障資料主任,適時對系統進行風險評估,以及適時刪除個人資料,防止類似違規再次發生等。
數碼港去年向公署通報資料外洩事故,指其電腦系統和檔案伺服器被勒索軟件攻擊和惡意加密,事故導致逾萬人的個人資料外洩。私隱專員公署調查後發現,有13632名員工和求職者的個人資料遭洩漏,當中包括5292名求職者的個人資料,部份超過法例容許的保留期限。涉及的個人資料包括姓名、身份證號碼、身份證的副本、護照號碼,亦有部分人士的財務資料,例如銀行帳戶號碼、醫療報告、照片、僱傭資料,亦有部分人的信用卡資料。鍾麗玲形容事件披露的個人資料範圍相當大。
逾1.3萬人受累 姓名身份證任睇
鍾麗玲指,數碼港是一間具規模的機構,持有並處理大量人士的個人資料,公眾會合理地期望數碼港投入足夠資源,確保其資訊系統及數據的安全。而數碼港沒有採取所有切實可行的步驟,確保涉事個人資料受保障而不受未獲准許或意外的查閱、處理、刪除、喪失或使用所影響,違反《私隱條例》保障資料原則下有關個人資料保安的規定,而在保留個人資料亦違反相關規定,故已向數碼港送達執行通知,指示數碼港在兩個月內糾正其違反的事項。
鍾麗玲表示,今次事故是由5個缺失所導致,包括資訊系統欠缺有效的偵測措施;沒有為遠端存取資料啟用多重認證功能;對資訊系統進行的保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險;資訊保安政策有欠具體,未讓員工有具體框架可依循;以及個人資料被不必要地保留。
過期保留資料 未遵政策無解釋
鍾解釋,事件中約有4成受影響人士、即逾5200人是求職者或是已離職僱員,而根據數碼港資料保留政策,只保留求職者資料1年,僱員資料則於相關人士在職時才會保留,但調查發現部分資料遠於2016年保留至今,數碼港亦未能解釋為何未按政策刪除資料。
她指,若數碼港有按政策和步驟刪除資料,受影響的人數會大大減少。
鍾麗玲又提到,《私隱條例》下若資料被洩的當事人蒙受損失,可透過民事訴訟索償,受影響人士須提供證據,如有需要,私隱專員公署會提供法律意見、調解和協助索償等服務。而事件發生至今,私隱專員公署共收到65宗相關查詢及33宗投訴。
自稱「Trigona」的黑客組織於去年8月6日透過「暴力攻擊」、即以程式「撞密碼」的形式攻擊,取得一個具有管理員權限的帳戶進入數碼港的網絡,繼而再取得另外3個具有管理員權限帳戶的控制權,並成功關閉系統反惡意軟件的功能,再加密資料勒索。直至去年8月14日,黑客加密系統內的資料,數碼港才發覺。
關鍵字
最新回應