【本报记者报道】数码港去年8月遭黑客入侵,个人资料私隐专员公署昨日完成调查称,事件中有超过1.3万人的个人资料外洩,而事故源于五大缺失,包括资讯系统欠缺有效侦测措施,个人资料被不必要保留等,裁定数码港违反《私隐条例》。私隐专员钟丽玲表示,公署已将报告及执行通知送达数码港,要求对方在两个月完成有关指示,之后向公署提交证据,又指出如果再次违规,将会是刑事罪行。
私隐专员公署公布调查结果称,早在去年8月初,黑客已取得数码港具管理员权限的帐户。一周后,黑客以勒索软件攻击,及恶意加密伺服器内的档案。数码港一度更改帐户密码,但相隔三日,黑客再次攻击及加密,最终数码港「不敌」,被盗取约400GB资料,涉及13,362人的身分证和银行帐户号码等,包括数码港管理人员、有业务往来人士,当中5,292名求职者及离职僱员的资料更超出保留期限,最长的保存了七年半。
无遵从政策 有资料被保留8年
钟丽玲解释,根据数码港资料保留政策,只会保留求职者资料一年,僱员资料则于相关人士在职时才会保留,但调查发现部分资料远于2016年保留至今,数码港亦未能有解释为何未按政策删除资料。至于涉及的个人资料包括姓名、身分证号码、身分证的副本、护照号码,亦有部分人士的财务资料,例如银行帐户号码 、医疗报告、照片、僱佣资料,亦有部分人的信用卡资料,钟丽玲形容披露的个人资料范围相当大。
署方发现数码港存在五大缺失,包括资讯系统欠有效侦测措施,亦无核实远端登入用户身分,令黑客从远端用勒索软件攻击,入侵13个视窗系统及两台虚拟伺服器,加上黑客帐户凭证具管理员权限,成功停止数码港系统的反恶意软件。钟丽玲称:「数码港作为一间具规模的资讯系统机构,亦储存、处理大量个人资料的机构。数码港仅仅依赖一款反恶意软件来侦测异常活动,我觉得是明显不足够及不成比例。」
仅靠1款反恶意软件侦测
钟丽玲续称,《私隐条例》下,若资料被洩的当事人蒙受损失,可以透过民事诉讼索偿,受影响人士须提供证据,如有需要,公署会提供法律意见、调解和协助索偿等服务。
公署指出,事件发生至今共收到65宗查询,以及33宗投诉。公署要求数码港在两个月内,彻底检视个人资料的资讯系统的安全和保障措施,确保系统内无恶意软件和保障的漏洞,以及配备有效的侦测措施;聘请独立资讯保安专家对资讯系统进行最少每年一次的评估和保安审计;销毁逾期保留的个人资料等,并要在两个月内就向私隐专员提交文件和证明完成相关工作。 |
搜寻新闻
