【12:10更新】數碼港電腦系統早前遭黑客攻擊,盜取400GB的身份證及銀行資料等。個人資料私隱專員公署今早(2日)公布數碼港資料外洩事故的調查報告,指事件是5項缺失導致,包括資訊系統欠缺有效的偵測措施、未有為遠端存取資料啟用多重認證功能、對資訊系統進行的保安審計不足、資訊保安政策有欠具體,以及個人資料被不必要地保留。私隱公署裁定數碼港違反私隱條例保障資料第4及第2原則中,有關個人資料保安及個人資料保留規定,並發出執行通知,要求數碼港2個月內完成指示,提交報告,若再有違規屬刑事罪行,公署不排除有進一步行動。
資料外洩涉5000求職者 私隱專員:範圍相當大
私隱專員鍾麗玲指,早前數碼港向公署通報資料外洩事故,指其電腦系統的檔案伺服器被勒索軟件攻擊及惡意加密,其後自稱Trigona的黑客組織要求數碼港交贖金,為已被加密的檔案解鎖。調查發現在去年8月6日,數碼港被黑客「暴力攻擊」,取得管理員權限帳戶,並成功停止數碼港反惡意軟件功能,到8月14日,數碼港更換所有帳戶密碼,其後再遭受黑客攻擊。
鍾麗玲指,事件導致逾1.3萬名資料當事人的個人資料外洩,當中約5,290名受影響人士為求職者及已離職僱員,當中涉及的個人資料包括姓名、身份證號碼、身份證副本、護照號碼、部分人士的財務資料、銀行帳戶號碼 、醫療報告、僱傭資料以及信用卡資料等。她形容被披露的個人資料「範圍相當大」。
裁定數碼港違私隱條例原則
她強調數碼港是具規模機構,恆常地持有並處理大量個人資料,公眾合理期望數碼港投入足夠資源,確保資訊系統和數據安全,認為數碼港應採取足夠技術性保安措施,保障個人資料安全。然而,她指調查顯示數港碼事件是由5項缺失導致,包括:
- 資訊系統欠缺有效的偵測措施
- 未有為遠端存取資料啟用多重認證功能
- 對資訊系統進行的保安審計不足
- 資訊保安政策有欠具體,及
- 個人資料被不必要地保留
私隱專員公署指,數碼港並無採取所有切實可行的步驟,確保涉事個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,裁定違反私隱條例保障資料第4及第2原則中,有關個人資料保安及個人資料保留規定,向數碼港送達執行通知,指示數碼港糾正,防止類似違規情況再發生,並要求數碼港在2個月內完成指示,提交調查報告,若再有違規屬刑事罪行,不排除有進一步行動。
最長保留資料由2016年至今
鍾麗玲表示在個人資料被不必要地保留方面,調查發現數碼港有個人資料由2016年保留到現在,惟數碼港有關政策規定求職者的個人資料僅保留一年,若僱員離職則不會保留資料,故今次外洩約5,000名求職者及已離職僱員的資料,認為是數碼港並無跟從相關政策。她解釋私隱條例規定,若相關人士因使用者違例而蒙受損失,有權就損害向資料使用者申索補償。
數碼港會前發新聞稿 指內部資訊保安存改善空間
數碼港則在記者會前發新聞稿,指董事局早前成立的專責小組,已經完成工作並向董事會作匯報,當中專責小組發現數碼港在內部資訊保安,以及數據管理方面存在改善空間。專責小組主席伍志強指,事件發生以來,專責小組與管理層致力支援受影響人士,盡力減低潛在影響,並全面配合有關部門與私隱專員公署的調查。