私隱專員公署發表對數碼港資料外泄事故的調查報告。公署指數碼港去年兩度被黑客入侵,後被勒索,認為事件涉及五大缺失,包括無法有效偵測黑客入侵、無為遠端存取資料啟用多重認證、對資訊系統的保安審計不足,亦不必要地保留個人資料。公署又指,數碼港於事故中外泄的逾1.3萬人的個人資料中,有四成屬求職者及已離職的僱員,並全數超過保留期限而未刪除,部分資料更由2016年保留至今。私隱專員鍾麗玲指數碼港違反個人資料保留的規定,已向數碼港送達執行通知,指示數碼港糾正。
根據公署調查所得,數碼港去年8月6日遭黑客利用具管理員權限的帳戶進入數碼港網站,8日後數碼港伺服器檔案遭勒索軟件攻擊及惡意加密,其後在同月17日接獲勒索信息,翌日亦再被黑客攻擊。公署引述數碼港指,事件中共涉13632人受影響,當中包括近8000名與僱傭有關人士,並涉及5292名求職者及已離職者的資料。公署亦發現,數碼港逾期保留該批求職者及已離職者的個人資料。事件中外泄的個人資料包括姓名、身分證號碼或副本、護照號碼及聯絡資料,以及部分人的銀行帳戶號碼、醫療報告等。
鍾麗玲指,數碼港的資料保留政策列明,求職者資料只會保存1年,惟公署從接獲投訴及査詢發現,數碼港外泄的個人資料中,包括早於2016年的求職者資料,數碼港事後亦未能解釋保留資料的原因。公署上周四(28日)已向數碼港送達執行通知,要求對方2個月內做糾正並提交相關證據。鍾麗玲指目前共接獲65宗涉及事件的查詢及33宗投訴,受影響人士可按私隱條例向數碼港索償,若過程中需查詢或協助亦可聯絡私隱公署。
黑客盜管理權限 停反惡意軟件 數碼港未發現
公署又引述數碼港委聘的網絡安全專家調查報告指,網絡攻擊的起因是由於黑客取得數碼港一個具管理員權限的帳戶憑證,並透過遠端桌面連接進入數碼港的網絡,數碼港的多個伺服器及網絡儲存裝置受被入侵,涉及13個Windows系統及兩台虛擬伺服器,黑客又利用權限,成功停止資訊系統在事發時配備的一款反惡意軟件的功能。
報告又指,由2023年8月6日黑客進入數碼港的網絡起,直至黑客於8月14日作勒索數件攻擊期間,由於黑客使用具權限的帳戶活動,數碼港未能偵測黑客的入侵及相關惡意活動。公署質疑,作為一間使用具規模的資訊系統以儲存大量個人資料的機構,數碼港僅依賴一款反惡意軟件明顯不足夠及不成比例,而且數碼港也未有為遠端存取資料啟用多重認證功能,否則就可阻止黑客透過管理員帳戶遠端進入網絡。
公署又發現,數碼港每兩年為資訊系統作保安審計,評估數碼港所有資訊系統有否漏洞,事發前最近一次審計屬2021年尾,認為數碼港審計頻率不足,亦沒有規定在其中一個受事件影響的系統啟用前,作風險評估或獨立保安審計,形容屬明顯缺失。
數碼港去年8月中向公署通報事故,事隔一個月後有外國網站揭露事故後,數碼港才向公眾交代。被問到當中是否涉及通報機制缺失,鍾麗玲指現時未有條例規管機構通報事故的時限,公署事後已發信建議數碼港盡快通知受影響人士。至於今次發出執行通知的罰則是否不足,她重申,公署正與政府檢視修訂《私隱條例》,包括加強罰則及引入行政罰款,認為相關修訂不應屬「小修小補」的修訂。