數碼港去年遭黑客入侵 私隱專員公署指保安系統存缺失違反私隱條例
發佈日期: 2024-04-02 13:00
港澳
數碼港去年八月遭黑客入侵,個人資料私隱專員公署完成調查,指逾1.3萬人的個人資料外洩,公署裁定違反《私隱條例》,指示數碼港糾正。
私隱專員公署公布數碼港資料外洩的調查結果,指早在去年八月初,黑客已取得數碼港具管理員權限的帳戶。一周後,黑客以勒索軟件攻擊,及惡意加密伺服器內的檔案。數碼港一度更改帳戶密碼。
但相隔三日,黑客再次攻擊及加密,最終數碼港「不敵」,被盜取約400GB資料。涉及13,362人的身份證和銀行帳戶號碼等,包括數碼港管理人員、有業務往來人士,當中5,292名求職者及離職僱員的資料更超出保留期限,最長的保存了七年半。
署方發現數碼港出現五大缺失,包括資訊系統欠有效偵測措施,亦無核實遠端登入用戶身份,令黑客從遠端用勒索軟件攻擊,入侵13個視窗系統及兩台虛擬伺服器。加上黑客帳戶憑證具管理員權限,成功停止數碼港系統的反惡意軟件。
私隱專員鍾麗玲稱:「數碼港作為一間具規模的資訊系統機構,亦儲存、處理大量個人資料的機構。數碼港僅僅依賴一款反惡意軟件來偵測異常活動,我覺得是明顯不足夠及不成比例。」
公署又發現數碼港每兩年才對系統檢查一次,入侵前的檢查已是19個月前。公署裁定數碼港違反《私隱條例》個人資料保安和保留兩項規定。
鍾麗玲表示:「若刪除已到保留期限的資料,受事件影響的人數會大大減少。」
公署已發出「執行通知」,指示數碼港兩個月內糾正所有漏洞,並需聘請獨立保安專家最少每年檢視系統。被問到條例是否阻嚇力不足?
鍾麗玲指:「與政府一直審視《私隱條例》的條款,其中審視方向是加大罰則及引入行政罰款機制。這次修訂不應再小修小補修訂,應是整條條例修訂,整條條例應重新審視一次。」
數碼港回應指,已成立專責小組,已提升各層面資訊系統保安。
