(獨媒報導)數碼港電腦系統去年8月遭黑客組織Trigona入侵,盜取逾400GB資料,並勒索約235萬港元贖金;黑客組織「撕票」後,數碼港始發稿交代。私隱專員公署今日發表調查報告,指事件有13,632人受影響,裁定數碼港違反《私隱條例》。公署指,數碼港具規模兼恆常處理大量個人資料,惟僅用一款偵測入侵軟件、未為遠端存取資料啟用多重認證功能,更不必要地保留個人資料。被問事件是否涉及數碼港管理層隱瞞,私隱專員鍾麗玲澄清《條例》無規定通知時限,法例並無要求強制性通知,公署角色只是敦促機構盡快通知受影響人士。
另外,鍾麗玲表示正與政府審視《私隱條例》的罰則,研究加入行政罰款機制。她表明審視工作「唔應該小修小補」,而是「成個條例罰則要審視一轉」,有結果後會向立法會提出建議。
暫無刑事後果 民事索償須事主自證
數碼港被裁定兩項行為違反《私隱條例》,須在5月26日前完成糾正工作,並向公署提交報告。假如數碼港再有違反,會被視為刑事行為,公署「不排除進一步行動」。假如受影響人士要求索償,私隱專員鍾麗玲指可以循民事渠道,不過該人須提供證據。
去年8月6日,黑客透過暴力攻擊,成功登入一個擁有管理員權限的帳戶,並進入數碼港網絡,關閉唯一的反惡意軟件及植入惡意加密程式和勒索軟件。直至8月14日向伺服器發動攻擊前,數碼港不知悉系統被入侵。當數碼港發現被攻擊後,曾嘗試作出補救,包括更改所有帳戶的密碼,不過黑客再在8月17日發動攻擊,並成功惡意加密。
稱數碼港有「5大缺失」
鍾麗玲表示,受影響人數多達13,632人,當中四成是求職者及已離職僱員;他們的資料被不當保留,超出保留期限。被洩漏的資料包括姓名、身份證號碼、身份證副本、護照、出生日期、聯絡資料,銀行帳戶、醫療報告、社交媒體資料等。鍾麗玲總結「5大缺失」,包括資訊系統缺乏有效偵測措施、無為遠端存取資料啟用多重認證、對資訊系統的保安審計不足,資訊保安政策有欠具體,亦不必要地保留個人資料。
對於數碼港在8月6日至14日期間未能偵測入侵,鍾麗玲強調作為一間具規模機構,卻僅僅依賴一款偵測入侵軟件,屬不成比例及不足夠。她又指,若果數碼港為遠端存取啟用多動認證功能,即使密碼被暴力撞破,仍需要一次性密碼才可登入,有機會避免今次事件。
保安系統19個月未審計
數碼港對上一次審計資訊保安系統已經是2021年尾,在事發一刻,系統有19個月未被檢視。鍾麗玲指,就其中一款Window新系統,數碼港更是未曾進行任何風險評估或獨立審計,顯示數碼港有顯缺失。若數碼港有按照保留資料政策,刪除不受僱用人士的資料,今次受事件影響的人數將會大大減少。
傳媒問到今次事件是否屬於低級犯錯,有沒有管理層需要負上責任?鍾麗玲指《私隱條例》針對資料使用者作出調查,亦即針對整間公司,公署已向公司發出執行通知。
有2016年求職者資料被保留 公署指不深究原因
鍾麗玲透露,最嚴重一宗個案是數碼港保留一名2016年面試人士的資料,做法明顯不符數碼港的保留資料政策,因政策明確指示求職者資料只保存1年。她又指數碼港在調查過程中,沒有交代為何逾時保留資料。
至於數碼港在9月始公布洩漏事件,有傳媒問是否涉及管理層隱瞞,鍾麗玲澄清《條例》無明文規定資料使用者的公布時限,公署按一般做法,要求數碼港盡快通知受影響人士,她強調「唔係強制性通知,只係建議機構盡快通知」。