數碼港去年發生重大資料外洩事件,私隱專員公署今日(2 日)公布調查報告,指事件影響逾 13000 人,包括求職者、離職員工、數碼港管理人員、酒店職員、資助計劃實習生及有業務往來的人士。外洩的個人資料範圍廣泛,包括姓名、身份證號碼及副本、護照號碼、聯絡資料、財務資料如銀行賬戶號碼、健康資料、社交媒體賬戶資料等。
個人資料私隱專員鍾麗玲女士表示,事件起因是黑客透過暴力攻擊,取得具有管理員權限的帳戶憑證,進而透過遠端桌面成功連接到數碼港的網絡,並在網絡內進行橫向移動,進行一系列惡意活動,包括:部署勒索軟件。此外,該事件還暴露數碼港在資訊系統安全管理方面存在諸多不足,包括:缺乏有效的政策措施、未啟用多重認證功能、保安審計不足以及資訊保安政策的具體性不足。
公署要求作採取多項改正措施
鍾麗玲指,根據私隱條例,數碼港有責任保護個人資料,但事件顯示,數碼港未能妥善遵守相關規定,尤其是在個人資料的保留期限和資料保存方面。數碼港違反私隱條例,經審視後有多項缺失,私隱專員公署指,已向數碼港發出執行通知,要求針對問題採取一系列改正措施,包括:全面檢查和加強信息系統的安全措施、實施多重認證、進行年度的風險評估和保安審計、制定清晰全面的資訊系統保存政策和程序、銷毀所有超出保留期限的個人資料,以及製定清晰的資料保留政策和執行細節。
香港資訊科技商會榮譽會長方保僑在聽取私隱專員公署的發布會後表示,數碼港的事故主要源於其中的 Super Admin 帳戶被暴力破解(Brute-force attack),黑客可不斷重試密碼來作出破解,理論上,特別是擁有重要權限的帳戶,應使用雙重認證,在遇到暴力破解時亦應向管理發出電郵提示、不斷延長重試時間等,以減低帳戶被入侵的風險。方保僑認為私隱專員對數碼港的建議詳盡,值得其他企業參考,特別是企業應定期進行保安審計,由專家作出加強保安的建議。
Source:PCPD、ezone.hk