数码港去年遭黑客入侵 私隐专员公署指保安系统存缺失违反私隐条例

数码港去年八月遭黑客入侵，个人资料私隐专员公署完成调查，指逾1.3万人的个人资料外泄，公署裁定违反《私隐条例》，指示数码港纠正。

私隐专员公署公布数码港资料外泄的调查结果，指早在去年八月初，黑客已取得数码港具管理员权限的帐户。一周后，黑客以勒索软件攻击，及恶意加密伺服器内的档案。数码港一度更改帐户密码。

但相隔三日，黑客再次攻击及加密，最终数码港「不敌」，被盗取约400GB资料。涉及13,362人的身份证和银行帐户号码等，包括数码港管理人员、有业务往来人士，当中5,292名求职者及离职雇员的资料更超出保留期限，最长的保存了七年半。

署方发现数码港出现五大缺失，包括资讯系统欠有效侦测措施，亦无核实远端登入用户身份，令黑客从远端用勒索软件攻击，入侵13个视窗系统及两台虚拟伺服器。加上黑客帐户凭证具管理员权限，成功停止数码港系统的反恶意软件。

私隐专员钟丽玲称：「数码港作为一间具规模的资讯系统机构，亦储存、处理大量个人资料的机构。数码港仅仅依赖一款反恶意软件来侦测异常活动，我觉得是明显不足够及不成比例。」

公署又发现数码港每两年才对系统检查一次，入侵前的检查已是19个月前。公署裁定数码港违反《私隐条例》个人资料保安和保留两项规定。

钟丽玲表示：「若删除已到保留期限的资料，受事件影响的人数会大大减少。」

公署已发出「执行通知」，指示数码港两个月内纠正所有漏洞，并需聘请独立保安专家最少每年检视系统。被问到条例是否阻吓力不足？

钟丽玲指：「与政府一直审视《私隐条例》的条款，其中审视方向是加大罚则及引入行政罚款机制。这次修订不应再小修小补修订，应是整条条例修订，整条条例应重新审视一次。」

数码港回应指，已成立专责小组，已提升各层面资讯系统保安。