(星島日報報道)香港寬頻客戶資料庫被黑客入侵,涉及約三十八萬個固網及IDD服務客戶,包括姓名、通訊地址及身分證號碼等,更有四萬三千名客戶的信用卡資料外泄,是本港近三年來最多信用卡資料外泄的事件!香港寬頻於前晚報警處理,警方指案件交由網絡安全及科技罪案調查科跟進;個人資料私隱專員公署已收到通報,並主動就事件展開循規審查。

  香港寬頻昨日公布,公司於周一進行恆常網絡檢測時發現,一個已停用的客戶資料庫遭未經授權入侵。截至目前,調查顯示有技術高超的不明人士,透過網絡攻擊駭入了香港寬頻一部伺服器。該伺服器儲有一個已停用資料庫,涉及約三十八萬個香港寬頻固網及IDD服務客戶及服務申請者的資料,佔香港寬頻三百六十萬的總客戶記錄約百分之十一。該資料庫最後更新時間為二〇一二年,存放資料包括客戶姓名、電郵地址、通訊地址、電話號碼、身分證號碼,以及約四萬三千人的信用卡資料。

  事件於周一被發現後,香港寬頻已即時進行深入的內部調查,以及外聘網絡安全顧問團隊,對所有系統及伺服器進行全面檢查。同時,公司立刻採取緊急措施,避免同類事件再度發生。以香港寬頻所知,其他客戶資料庫並沒有受影響。公司會透過電郵、短訊及書信通知受影響客戶,對於未能聯絡的客戶,將透過相關發卡銀行,提醒有關客戶留意信用卡近日是否有不正常交易情況出現,以防資料被盜用。

  對於外界關注如何處理舊客戶資料,香港寬頻指出,調查正在進行中,一般來說,平時客戶資料都會加密。公司做法會將現有客戶資料存放於活躍資料庫中,而不續約的舊客戶資料,在約滿後六個月內仍可被客戶服務團隊讀取,以方便員工為客戶翻查帳單或跟進儀器退還等事情。舊客戶資料在六個月後就會被轉到資料後端系統(data backend),而這些資料會到七年後才會被刪除。

  香港寬頻指,非常重視今次事件,已立即於周二向警方報案,並將會通知受影響的香港寬頻客戶及通報個人資料私隱專員。警方昨日表示,已接獲相關報案,網絡安全及科技罪案調查科正跟進調查。

  個人資料私隱專員黃繼兒對事件表示關注,公署指已收到相關的資料外泄通報,並會主動就事件展開循規審查。

  就有關機構保留客戶個人資料的期限方面,公署表示任何機構必須按《個人資料(私隱)條例》的規定妥善保留及刪除客戶的個人資料;但公署承認《私隱條例》並沒有指明資料使用者保留個人資料的期限,機構應按其業務的實際所需、其收集個人資料的原來目的,以及為符合其他法定要求或公眾利益,而決定保存個人資料的期限。一般而言,機構在交易完成後,可保留有關記錄七年。