数码港泄密 5大漏洞捱批

数码港电脑系统去年遭黑客入侵，导致逾1.3万人个人资料外泄。个人资料私隐专员公署昨日公布事故调查报告，指事故源于数码港5项缺失，包括资讯系统欠缺有效侦测措施、个人资料被不必要地保留等。私隐专员锺丽玲表示，已将报告及执行通知送达数码港，要求对方在两个月内完成有关纠正指示，之后向公署提交证据，又指如再次违规，将属刑事罪行；公署并建议数码港设立个人资料私隐管理系统，委任保障资料主任，适时对系统进行风险评估，以及适时删除个人资料，防止类似违规再次发生等。
数码港去年向公署通报资料外泄事故，指其电脑系统和档案伺服器被勒索软件攻击和恶意加密，事故导致逾万人的个人资料外泄。私隐专员公署调查后发现，有13632名员工和求职者的个人资料遭泄漏，当中包括5292名求职者的个人资料，部份超过法例容许的保留期限。涉及的个人资料包括姓名、身份证号码、身份证的副本、护照号码，亦有部分人士的财务资料，例如银行帐户号码、医疗报告、照片、雇佣资料，亦有部分人的信用卡资料。锺丽玲形容事件披露的个人资料范围相当大。
逾1.3万人受累  姓名身份证任睇

锺丽玲指，数码港是一间具规模的机构，持有并处理大量人士的个人资料，公众会合理地期望数码港投入足够资源，确保其资讯系统及数据的安全。而数码港没有采取所有切实可行的步骤，确保涉事个人资料受保障而不受未获准许或意外的查阅、处理、删除、丧失或使用所影响，违反《私隐条例》保障资料原则下有关个人资料保安的规定，而在保留个人资料亦违反相关规定，故已向数码港送达执行通知，指示数码港在两个月内纠正其违反的事项。

锺丽玲表示，今次事故是由5个缺失所导致，包括资讯系统欠缺有效的侦测措施；没有为远端存取资料启用多重认证功能；对资讯系统进行的保安审计不足，未能适时应对资讯科技的变化及网络安全的风险；资讯保安政策有欠具体，未让员工有具体框架可依循；以及个人资料被不必要地保留。
过期保留资料  未遵政策无解释

锺解释，事件中约有4成受影响人士、即逾5200人是求职者或是已离职雇员，而根据数码港资料保留政策，只保留求职者资料1年，雇员资料则于相关人士在职时才会保留，但调查发现部分资料远于2016年保留至今，数码港亦未能解释为何未按政策删除资料。

她指，若数码港有按政策和步骤删除资料，受影响的人数会大大减少。

锺丽玲又提到，《私隐条例》下若资料被泄的当事人蒙受损失，可透过民事诉讼索偿，受影响人士须提供证据，如有需要，私隐专员公署会提供法律意见、调解和协助索偿等服务。而事件发生至今，私隐专员公署共收到65宗相关查询及33宗投诉。

自称「Trigona」的黑客组织于去年8月6日透过「暴力攻击」、即以程式「撞密码」的形式攻击，取得一个具有管理员权限的帐户进入数码港的网络，继而再取得另外3个具有管理员权限帐户的控制权，并成功关闭系统反恶意软件的功能，再加密资料勒索。直至去年8月14日，黑客加密系统内的资料，数码港才发觉。