專業傳承 在地記錄

數碼港洩私隱|資料「撕票」事件 1.3萬人受影響 黑客入侵八日後 數碼港始發現

分享:

個人資料私隱專員公署裁定數碼港違反《私隱條例》,向其發出執行通知。

黑客「暴力攻擊」成功撞密碼

去年九月,網絡安全平台發帖文指有黑客已成功攻擊數碼港,公眾才知悉數碼港電腦系統早在 八月已被入侵。其後有外洩文件披露員工資料,當中包括員工姓名、身份證號碼、婚姻狀況、聯絡電話、月薪、銀行戶口號碼、所屬部門等。

事隔七個月,私隱專員公署公佈調查報告,公布事件始末:事發在去年 8 月 6 日,黑客透過「暴力攻擊」,即不停地撞密碼,取得一個具有管理員權限帳戶,進入數碼港網絡,再撞破其餘三個具有管理員權限帳戶做其他惡意活動,成功停止數碼港一個反惡意軟件功能。 及至 8 月 14 日,數碼港伺服器內的檔案受到勒索軟件攻擊及惡意加密,數碼港這時方發現系統被入侵,採取補救行動,包括更改所有帳戶密碼。

8 月 17 日數碼港再接到黑客的勒索訊息, 伺服器內的檔案再受攻擊及惡意加密,及至8 月 18 日,伺服器內的檔案再受攻擊及惡意加密。同日,數碼港才向私隱專員公署通報事件。連日攻擊,數碼港有多個伺服器及網絡儲存裝置受被入侵,涉及13個Windows系統及兩台虛擬伺服器。

違規保留資料最長七年 數碼港冇解釋

數碼港表示,共有 13,632 人受影響,當中有 8000 僱傭相關人士,其中 4 成,即 5292 名求職者或離職僱員,他們的個人資料被保留超過保留期限。私隱專員鍾麗玲表示,就著數碼港資料外洩一事接獲很多投訴及查詢,有求助人的資料最早由 2016 年保留到事發時,即保留了七年。

被問到數碼港為何要長時間保存資料,鍾麗玲表示,數碼港的資料保留政策而言,求職者的資料保留期限僅為一年,至於僱員的資料,則在有僱用期間才會保留,數碼港也未能解釋,為何要長時期保存資料。

遠端存資料沒多重認證

個人資料私隱專員(私隱專員)鍾麗玲列出數碼港「五項缺失」,首先指出數碼港的資訊系統欠缺有效的偵測措施,未能有效地偵測黑客不停撞密碼;二是沒為遠端存取資料啟用多重認證功能,即類似收到一次性驗證碼,才可登入等; 第三是數碼港每兩年才對資訊系統進行的保安審計,並不足夠;第四是指出數碼港的資訊保安政策欠具體 ,未能讓員工有一個具體的網絡保安框架可依循;五是個人資料被不必要地保留,最終導致約四成受影響人士不必要地受該資料外洩影響。

自行研發反惡意軟件 被黑客關閉

公署又指,數碼港僅依賴一款反惡意軟件明顯不足夠及不成比例。鍾麗玲說,該軟件由數碼港自行研發,沒有其他公營機構使用該系統。此外,由被黑客入侵到公眾知悉事件,相隔大約一個月,被問到當中是否涉及通報機制缺失,為何是次報告未有檢討該部分時,鍾麗玲指,現時《私隱條例》未有強行規管機構通報事故的時限,公署事後已發信建議數碼港盡快通知受影響人士,「都明白要時間澄清返發生咩事。」

個人資料私隱專員(私隱專員)鍾麗玲指,數碼港有「五項缺失」,導致資料外洩。

數碼港:積極支援受影響人士 警:暫未有人被捕

私隱專員公署指出數碼港違反《私隱條例》保障資料第4(1)及第 2(2)原則,有關個人資料保安及保留的規定,向數碼港發出「執行通知」,要求數碼港由執行通知的日期兩個月內,提交文件證明已完成工作,即在 5 月 26 日前向公署提交報告。如違反執行通知的規定,即屬犯法,最高可被判罰五萬元及監禁兩年,加上每日罰款港幣一千元。鍾麗玲說,公署正與政府檢視修訂《私隱條例》,現時正在審視條款,包括加強罰則及加入行政罰款機制,「希望不是小修小補」。

數碼港稱,已向個人資料私隱專員公署提交調查報告。數碼港表示,事故發生後,有積極聯繫及支援受影響人士以盡力減低潛在影響,包括即時提供免費信貸監察服務及暗網身分監察服務;至於內部資訊保安,數碼港稱已經審視並加強有關個人資料管理的措施。警方回覆查詢時表示,去年八月接獲相關機構報案,案件列作「有犯罪或不誠實意圖而取用電腦」處理,暫未有人被捕。