黑客撞密碼取權限 外洩1.3萬人資料 私隱專員公署揭數碼港五缺失
數碼港去年8月遭黑客組織Trigona入侵,超過400GB個人資料被盜及外洩,個人資料私隱專員公署完成調查並發表報告,指事故中逾1.3萬人的個人資料外洩,約四成是求職者或已離職員工。私隱專員調查發現,數碼港因5項缺失導致事件,包括未有採取足夠有效措施保障資訊系統安全,黑客竟以「撞密碼」簡單方法,便成功取得具管理員權限帳戶;及個人資料被不必要地保留,如有2016年求職者的資料仍保留等。公署裁定數碼港違反私隱條例中,有違個人資料保安的規定,並送達執行通知指示其糾正。有專家表示,數碼港在存取資料時沒設兩步驗證技術,屬於疏忽;又表示本港企業普遍網絡保安意識不足,希望其他公司借鏡,經常更新防火牆、新儀器,以及加強員工意識。
私隱專員鍾麗玲。 (林俊源攝)
根據公署調查所得,數碼港去年8月6日遭黑客利用具管理員權限的帳戶進入數碼港網站,8日後數碼港伺服器檔案遭勒索軟件攻擊及惡意加密,在同月17日接獲勒索信息,翌日亦再被黑客攻擊。公署表示,事故由數碼港5項缺失導致,包括資訊系統欠缺有效偵測措施,僅使用一款反惡意軟件偵測異常活動;未有為遠端存取資料啟用多重認證功能,導致黑客「撞密碼」取得具管理員權限帳戶,黑客又利用權限,成功停止資訊系統在事發時配備的反惡意軟件功能。另外,數碼港對資訊系統進行的保安審計不足,每兩年才做一次;資訊保安政策亦欠具體,未能讓員工有具體網絡保安框架可依循。
私隱專員鍾麗玲指,事件中有13,632人受影響,被盜資料包括姓名、身份證號碼、部分人銀行帳戶號碼,以及信用卡資料。她又提到,據數碼港政策,求職者的個人資料僅保留一年,若僱員離職則不會保留資料;但有5,292人是求職者以及離職僱員資料被盜,當中保留時間最長的個案,事主2016年求職資料保留至事發,與數碼港資料保留條例完全不符。按數碼港準則,僱員離職後須銷毁其資料,求職者資料需在求職後1年內銷毀。鍾麗玲認為若數碼港有按照既定程序,刪除已屆滿保留限期資料,是次受影響人數便會大幅減少。
事發後,私隱專員公署接獲65宗受影響人士查詢及35宗投訴。當中13人提出索償,公署會進一步跟進事件;公署補充指,跟據《私隱條例》第66條,受影響人士有權就其損害向相關機構提出申索補償。
私隱專員公署公布數碼港資料外洩調查報告,數碼港違反私隱條例。
數碼港洩露事故五項缺失
數碼港:委託第三方定期進行網絡安全監測
數碼港被裁定違反《私隱條例》保障資料第4(1)及第2(2)原則有關個人資料保安的規定。公署上周四(3月28日)已向數碼港送達執行通知指示其糾正,包括檢視載有個人資料資訊系統安全及保安措施、為遙距存取個人資料實施多重身份認證、聘請獨立專家進行最少每年一次的評估及保安審計、銷毀所有逾期保留個人資料等。數碼港須由執行通知日期起計兩個月內,即5月26日或之前向專員提供文件,證明已完成有關指示。數碼港回應指,高度重視事件,團隊於事件發生後隨即成立專責小組嚴肅跟進,專責小組的調查亦發現數碼港在內部資訊保安及數據管理方面存在改善空間,數碼港亦已加強多項措施;並委託第三方定期進行網絡安全監測及道德黑客入侵測試。
數碼港又指,有為受影響和潛在受影響人士提供免費信貸監察服務及暗網身份監察服務,盡力解除潛在風險;強調在涉事黑客暗網瓦解後,有關服務仍生效,以確保他們繼續得到保障。
香港資訊科技商會榮譽會長方保僑。
方保僑望其他公司借鏡
香港資訊科技商會榮譽會長方保僑表示,數碼港不應該被「暴力攻擊」撞密碼攻破,而數碼港在存取資料沒設兩步驗證技術,屬於疏忽,「用iPhone打多幾次(密碼),都唔俾你用住,撞多幾次,個(暫停)時間會延長落去」。他又指,數碼港每兩年做一次系統評估和保安審計並不足夠,因現時網絡攻擊嚴重,建議企業每半年做一次較理想,系統更新後亦應評估風險。
至於系統被入侵後,黑客關閉系統反惡意軟件的功能,方保僑表示,惡意軟件與反惡意軟件的關係如同攻防戰,惡意軟件除了可進入系統取得管理員帳戶,亦懂得識別反惡意軟件或防毒軟件,並把其關閉或截斷;因此加裝更多反間諜軟件和防毒軟件,保障會更大,但亦非百分百安全。方保僑相信,本港企業普遍網絡保安意識不足,希望其他公司借鏡,經常更新防火牆、新儀器,以及加強員工意識,避免點擊釣魚軟件,「相信(其他公司)更差嘅情況會發生,黑客未攻擊,只係好彩。」
