【本報記者報道】數碼港去年8月遭黑客入侵,個人資料私隱專員公署昨日完成調查稱,事件中有超過1.3萬人的個人資料外洩,而事故源於五大缺失,包括資訊系統欠缺有效偵測措施,個人資料被不必要保留等,裁定數碼港違反《私隱條例》。私隱專員鍾麗玲表示,公署已將報告及執行通知送達數碼港,要求對方在兩個月完成有關指示,之後向公署提交證據,又指出如果再次違規,將會是刑事罪行。
私隱專員公署公布調查結果稱,早在去年8月初,黑客已取得數碼港具管理員權限的帳戶。一周後,黑客以勒索軟件攻擊,及惡意加密伺服器內的檔案。數碼港一度更改帳戶密碼,但相隔三日,黑客再次攻擊及加密,最終數碼港「不敵」,被盜取約400GB資料,涉及13,362人的身分證和銀行帳戶號碼等,包括數碼港管理人員、有業務往來人士,當中5,292名求職者及離職僱員的資料更超出保留期限,最長的保存了七年半。
無遵從政策 有資料被保留8年
鍾麗玲解釋,根據數碼港資料保留政策,只會保留求職者資料一年,僱員資料則於相關人士在職時才會保留,但調查發現部分資料遠於2016年保留至今,數碼港亦未能有解釋為何未按政策刪除資料。至於涉及的個人資料包括姓名、身分證號碼、身分證的副本、護照號碼,亦有部分人士的財務資料,例如銀行帳戶號碼 、醫療報告、照片、僱傭資料,亦有部分人的信用卡資料,鍾麗玲形容披露的個人資料範圍相當大。
署方發現數碼港存在五大缺失,包括資訊系統欠有效偵測措施,亦無核實遠端登入用戶身分,令黑客從遠端用勒索軟件攻擊,入侵13個視窗系統及兩台虛擬伺服器,加上黑客帳戶憑證具管理員權限,成功停止數碼港系統的反惡意軟件。鍾麗玲稱:「數碼港作為一間具規模的資訊系統機構,亦儲存、處理大量個人資料的機構。數碼港僅僅依賴一款反惡意軟件來偵測異常活動,我覺得是明顯不足夠及不成比例。」
僅靠1款反惡意軟件偵測
鍾麗玲續稱,《私隱條例》下,若資料被洩的當事人蒙受損失,可以透過民事訴訟索償,受影響人士須提供證據,如有需要,公署會提供法律意見、調解和協助索償等服務。
公署指出,事件發生至今共收到65宗查詢,以及33宗投訴。公署要求數碼港在兩個月內,徹底檢視個人資料的資訊系統的安全和保障措施,確保系統內無惡意軟件和保障的漏洞,以及配備有效的偵測措施;聘請獨立資訊保安專家對資訊系統進行最少每年一次的評估和保安審計;銷毀逾期保留的個人資料等,並要在兩個月內就向私隱專員提交文件和證明完成相關工作。 |
搜尋新聞
