黑客入侵數碼港|暗網可查外洩員工薪金履歷表 專家批保安意識低
數碼港8月中被黑客入侵,涉及容量多達400GB的職員資料被盜,當中包括身份證明文件,惟數碼港延遲大半個月才公布。根據黑客網站最新顯示,相關資料已經「外洩(leaked)」,可任意於暗網(deep web)免費下載。
有電腦從業員從暗網翻看部份外洩資料,當中可見208.5GB資料與項目(project)有關,佔最大比例;另外亦有人力資源、租務、財政等資料,當中並非所有檔案可以順利下載,亦有部份文件有額外加密,不過也有不少可以直接開啟,窺探部份員工的薪金,以及應徵者的履歷表。
有電腦安全研究員批評數碼港的保安意識差,「佢根本未做好管理責任,咁究竟呢件事使唔使有人問責呢?我覺得需要啦,無做好管理。唔單止個人資料,仲有政府合約,被附近鄰近地區睇到,窺視到我哋點做project,攞我哋生意點算?」
400GB資料五分一為人力資源資料
黑客組織Trigona網頁顯示,數碼港被盜取的資料「已洩漏」(leaked)。據電腦從業員實試所指,相關已可從Trigona的暗網網頁直接免費下載,資料一共400GB,當中208.5GB為項目(Project)、86.3GB為人力資源(HR)、財務(Financial)有125.01GB、金融科技組(FintechTeam)有2.56GB,其餘15.75GB為租務(Leasing)。
上述400GB資料中,有不少為「PDF」、「EXCEL」文件,亦有部份為相片、影片,包括一些辦公室圖片。不過,在Trigona網頁點擊部份文件文件時,並未能讀取檔案;亦有部份「EXCEL」文件下載後,需要進一步輸入密碼才可開啟。
求職者履歷表都有 文件載有面試官評語
然而,並非所有檔案都有加密,例如有部份載有員工薪金資料的文件,便可直接開啟;一些求職者的履歷表亦可閱覽,甚至另有文件載有面試官的評語,可以一覽無遺。另外,亦可見一些公司與數碼港簽訂的租約文件。
電腦安全專家:每兩三天就有遭勒索軟件攻擊個案
電腦安全研究員賴灼東表示,其實平均每兩三天就有企業、學校,或不同機構遭到勒索軟件攻擊,同類事件頗常見。他表示,受到攻擊的原因,一般源於系統未修補、欠缺數碼安全意識、缺乏資源強化保安系統、人才不足等。他表示,曾有公司本身並無備份資料,只能繳交「贖金」。
問及數碼港的保安意識是否不足,賴灼東批評說:「咁大個機構,無可能咁差。」他表示,一般而言,的確較少會逐一將「EXCEL」加密,但會整個系統、硬盤雙重認證,登入時確認身份,才會解密,「好明顯無做呢樣嘢啦,認證個下無做好認證,漏洞亦都無修補啦。」他形容事件屬於疏忽,「如果有做開服務器、伺服器嘅審計,或者加雙重認證,應該都無乜問題」。
恐洩漏政府合約資料 指數碼港管理層應問責
賴灼東又批評,事件不單止影響個人私隱,當中更涉及商業機密,認為會損害香港利益,而指數碼港管理層應問責,「佢根本未做好管理責任,咁究竟呢件事使唔使有人問責呢?我覺得需要啦,無做好管理。唔單止個人資料,仲有政府合約,被附近鄰近地區睇到,窺視到我哋點做project,攞我哋生意點算?」
賴灼東指,香港現時並無相關法例懲罰資料外洩,但內地及新加坡早有相關法例,相關公司一般會被罰款,惟香港一直未有罰則,「你唔係要安全架咩?點解連呢啲資料外洩都可以不了了之?道歉就過咗去唔使罰則,乜都唔需要?」他提醒無論各行各業其實要注意資訊安全,各行都有責任保障資訊安全。
香港資訊科技商會榮譽會長方保僑表示,事件十分嚴重,因外洩資料不止涉及數碼港員工,尚有租戶、合作伙伴、應徵者資料,目前最緊要先掌握受影響人士資料,並盡快通知他們。