數碼港黑客入侵|五大缺失累逾1.3萬人資料外泄 私隱署裁兩違規

撰文:何瑞芬
出版:更新:

數碼港去年8月遭黑客入侵盜取400GB資料,黑客勒索不果後相關資料於暗網被公開。個人資料私隱專員公署今日(2日)發表調查報告,指事件有13,632人受影響,又認為數碼港無採取切實步驟確保個人資料不被泄漏,及無確保個人資料保存時間不超過使用所需時間,違反《私隱條例》中的兩項保障資料原則規定。公署又斥數碼港五大不足,包括無為遠端存取資料啟用多重認證功能、不必要地保留個人資料等,已向數碼港發執行通知,指示其糾正。

數碼港(資料圖片)

8000名求職者及離職者資料保留超過期限

私隱專員鍾麗玲表示,事件共有13,632人受影響,包括近8,000名與僱傭相關人士,其中5,292名求職者及離職者資料保留超過期限,其他受影響人士包括數碼港管理人員、酒店職員、實習生及相關業務人士等。外泄資料包括身份證號碼、銀行戶口號碼、信用卡資料等。

個人資料私隱專員公署4月2日就去年8月數碼港遭黑客入侵發表調查報告,事件共有13,632人受影響。(何瑞芬攝)

違《私隱條例》兩原則 包括沒確保保存時間不超過其使用目的所需時間

她表示,經公署調查後,認為數碼港在事件中違反《私隱條例》6個保障資料原則中的兩個,包括第2原則,確保個人資料保存時間不超過其使用目的的所需時間;以及第4原則,確保其持有個人資料受保障而不受未獲准許或意外泄漏,被查閱、處理及刪除等。

▼9月14日 數碼港交代遭黑客入侵善後工作▼

+9

鍾又指中數碼港五大不足,包括資訊系統欠有效偵測措施,指數碼港未能偵測黑客入侵,「數碼港僅僅依賴一款反惡意軟件嚟偵測,係明顯不足同唔成比例」;第二是無為遠端存取資料啟用多重認證功能,強調若有多重認證功能確認帳戶身份,便能阻止黑客用該帳戶遠端進入數碼港網絡。

第三點是數碼港對資料系統的保安審計不足,鍾麗玲指數碼港每兩年才對資料系統做保安審計,事發前最後一次已在2021年年尾進行,即時隔超過19個月,批評頻率不足;第四點則是資訊保安政策欠具體。

鍾又說,事件受影響人士中有近4成人資料因不必要被保留才受牽連,指數碼港第五點不足,正是不必要保留個人資料,「如果數碼港刪除已屆保留期限嘅資料,受影響人數會大幅減少。」

她說,公署已向數碼港發出執行通知,包括要求數碼港檢視其個人資料資訊系統安全及保安措施、實施多重身份認證、至少每年做一次風險評估及保安審計,及銷毁所有逾期保留的個人資料等。

個人資料私隱專員公署列數碼港五大缺失:

1.資訊系統欠缺有效偵測措施
2.沒有為遠端存取資料啟用多重認證功能
3.資訊系統保安審計不足
4.資訊保安政策欠具體,沒有網絡保安框架供員工依循
5.不必要地保留個人資料

私隱專員鍾麗玲指據接獲投訴中,有最早2016年保存至今的應銷毁但未銷毀資料,惟相關機構未能提供合理解釋為何保存至今。(何瑞芬攝)

2016年應銷毁資料未銷毀 數碼港未能提供解釋

鍾麗玲表示,根據公署接獲的投訴中,有最早2016年保存至今的應銷毁但未銷毀資料,惟相關機構未能提供解釋為何保存至今。

數碼港須兩個月內提交證據證明已執行公署糾正指令

被問到數碼港雖然違反保障資料原則,但未有任何罰則,鍾麗玲稱公署已於3月26日向數碼港發執行指令,要求兩個月內、即5月26日須提交證據證明已執行,否則屬違法,公署會跟進。她又稱,公署正與政府檢視修訂《私隱條例》,包括加強罰則及引入入行政罰款,「我覺得唔應該係小修小補咁修訂,應該整個修。」

香港時間9月12日早上,有Twitter/X用戶發貼文,張貼出Trigona網站的截圖,貼文指Trigona「已洩漏」(Released)從數碼港系統取得的個人資料。

方保僑稱沒雙重驗證致失守 籲用組成複雜密碼及定期更新

香港資訊科技商會榮譽會長方保僑表示,黑客以「暴力攻擊」、即「撞密碼」形式取得管理員帳戶,料是權力較高的帳戶,之後可用管理員權限,關閉偵測系統,進行「橫向攻擊」取得更多帳資料。他強調若數碼港做更多驗證,例如「撞太多密碼」會發電郵告之持有人或管理層、一些雙重驗證,例如一次性密碼等,就不會發生今次泄漏事件。

他又提到數碼港2021年曾經做過資訊系統的保安審計,指若當時有落實相關建議措施,或可避免事件。他指今次是不小心錯誤加上好多巧合引起的意外,政府及其他機構應取教訓,做好老生常談的網絡安保工作,包括使用複雜密碼、定期更新密碼等。