數碼港黑客入侵|專家轟數碼港審計當交功課 籲資料被泄者可索償
私隱專員公署周二(2日)公布數碼港上年8月資料外洩調查報告,指數碼港沒有為遠端存取資料啟用多重認證功能、不必要地保留個人資料等,並向數碼港發執行通知要求糾正缺失。電腦安全研究員賴灼東今早(3日)指,數碼港只靠一款反惡意程式,防範黑客成效有限。有不少公司會以第三方電腦監測公司系統,每半年審計員工資料,但數碼港對上一次審計已是19個月前,質疑數碼港「當交功課」。他又批評,部份個人資料7年未刪有問題,「你(數碼港)估你博物館咩𠵱家?」他呼籲受害人認真考慮向數碼港索償。
賴灼東在港台節目《千禧年代》指,今次黑客透過取得數碼港管理層帳戶、密碼後,再以解密鑰獲取公司不同資料,變相令擁有一組密碼後,就可存取任何權限,包括關除公司的保安權限,若然只靠反惡意程式成效則有不足。
他補充,有公司會以第三方電腦監測,當發現系統有異動時,便會即時通知或遭到入侵;另外,由於雖然公司有時難以找到系統漏洞,但仍可啟用雙重認證登入系統,而相關技術10年前已經相當成熟。賴灼東表示,在上述兩種保障下,「起碼可以拖延(入侵)時間」,而數碼港作為具規模的公司,「係應該要做到呢啲監測」。
至於公署報告提到,數碼港對上一次審計員工資料是2021年尾,事隔超過19個月。賴灼東就回應指,部分公司規模不如數碼港,但仍可能半年進行分階段資料審計,甚至會以「紅隊」攻擊公司系統,再讓公司找出漏洞填補、防範入侵,政府部門亦是每年一次,今次數碼港「係咪應該加強返(保安)?而唔係當(審計)交功課?」
賴灼東:受害人可認真考慮索償 唔可以講聲Sorry就算
而針對數碼港事後應變措施,包括監測已外洩的員工資料有否被運用,以及加強網絡保安,賴灼東就指「完全無驚喜」、「係應該、應份要做嘅嘢」。他又指,數碼港不應以為事件告一段落,因黑客知道弱點後,或會再作攻擊。
部份資料2016年起一直未銷毀 賴灼東:博物館咩?
賴灼東呼籲,事件受害人在數碼港完成監測後,要認真考慮向其索償,要令機構承認、改善問題,數碼港則應與受害人協商和解。賴灼東又稱,部份資料從2016年保留到事件發生時,批「你(數碼港)估你博物館咩𠵱家?唔可以講聲Sorry就算」;而今次事件管理層需顧及受害人感受,「唔好當打份工去諗」,因數碼港地位舉足輕重,會影響本港形象。
葛珮帆:數碼港宜延長監測時間 私隱公署需助民事索償
立法會資訊科技及廣播事務委員會主席葛珮帆在同一節目亦提出,政府本身都有「紅隊」演練入侵,也會收集情報,訓練應對黑客入侵。至於已洩漏的個人資料雖然無法下架,數碼港只監測一年並不足夠,希望公司可延長監測,並成立小組為有需要受害人提供心理輔導,公署則要協助部分人向數碼港提出民事索償。