数码港资料外泄|涉逾1.3万名员工和求职者 私隐公署批5大缺失 促两个月内纠正违例事项
2024-04-02 11:18 
数码港电脑系统早前遭黑客组织Trigona入侵,盗取400GB的身份证及银行资料等。个人资料私隐专员公署今日(4月2日)公布数码港资料外泄事故的调查报告,发现逾1.3万名员工和求职者的个人资料泄漏,包括超过5000名求职者的个人资料,部份超过法例容许的保留期限;涉及的个人资料包括姓名、身份证号码、身份证的副本、护照号码,亦有部分人士的财务资料,例如银行帐户号码 、医疗报告、照片、雇佣资料等。
私隐专员锺丽玲表示,该事件是5项缺失导致,包括资讯系统欠缺有效的侦测措施、未有为远端存取资料启用多重认证功能、对资讯系统进行的保安审计不足、资讯保安政策有欠具体,以及个人资料被不必要地保留。
未及时删走已到期资料
私隐专员公署公布数码港资料外泄事故调查报告,指数码港未有采取足够和有效措施,保障资讯系统安全,也未有及时根据保留资料政策,删除已届保存期限的资料。公署认为,数码港未有采取切实可行步骤,确保涉事个人资料受保障和不受未获准许或意外的查阅和处理等,以及确保资料保存时间,不超过使用资料实际所需时间,违反相关规定。
公署指,数码港资讯系统欠缺有效侦测措施,导致未能有效侦测黑客以暴力攻击资讯系统,令黑客能成功获取具管理员权限的帐户凭证,并进行勒索软件攻击和窃取储存系统内的个人资料。
公署表示,数码港没有为远端存取资料启用多重认证功能、核实获授权可远端登入数码港网络的用户身分;又指对资讯系统进行的保安审计不足,未能适时应对资讯科技变化和网络安全风险。
公署促建立个人资料私隐管理系统
锺丽玲表示,数码港是一间具规模的机构,恒常持有并处理大量不同人士的个人资料,持分者和公众会合理期望数码港投入足够资源,确保系统和数据安全,因此应采取足够保安措施。私隐专员已向数码港送达执行通知,指示两个月内纠正违反事项,又建议公司设立个人资料私隐管理系统,并委任保障资料主任,适时对系统进行风险评估,及适时删除个人资料,防止类似违规再次发生。
早前数码港向私隐专员公署通报资料外泄事故,表示其电脑系统及档案伺服器遭受到勒索软件攻击及恶意加密。自称 Trigona 的黑客组织要求数码港支付赎金,为已被加密的档案解锁。事件导致超过13,000名资料当事人的个人资料外泄,当中约4成受影响人士为求职者及已离职雇员。
数码港:内部资讯保安有改善空间
数码港在记者会前发新闻稿,指董事局早前成立的专责小组,已经完成工作并向董事会作汇报,而数码港亦已向私隐专员公署提交调查报告。数码港指,专责小组调查发现,数码港在内部资讯保安及数据管理方面存在改善空间,已加强多项措施,提升各个营运层面的资讯系统保安及数据安全的水平和意识。专责小组主席伍志强指,事件发生以来,专责小组与管理层致力支援受影响人士,尽力减低潜在影响,并全面配合有关部门与私隐专员公署的调查。
自事件发生以来,数码港董事局的专责小组与管理层一直紧密跟进创新科技及工业局指示的工作方向,进一步提升防范黑客再次攻击的能力、联系及支援受影响人士以尽力减低潜在影响,以及配合有关部门的调查,并确保相关改善措施有效落实。
---
《星岛申诉王》推出全新项目「区区有申诉」,并增设「我要赞佢」栏目,现诚邀市民投稿赞扬身边好人好事,共建更有爱社区。立即「我要赞佢」︰https://bit.ly/3uJ3yyF
《星岛头条》APP经已推出最新版本,请立即更新,浏览更精彩内容:https://bit.ly/3yLrgYZ
最新回应