【大纪元2024年04月03日讯】(大纪元记者杨日香港报导)数码港电脑系统去年遭黑客攻击,导致1.3万名员工个人资料外泄。个人资料私隐专员公署2日召开记者会发表调查报告,认为数码港涉及五大缺失,包括资讯系统无法有效侦测黑客入侵、没有为远端存取资料启用多重认证、对资讯系统的保安审计不足,资讯保安政策欠具体以及不必要地保留个人资料。
公署指出,数码港资讯系统欠缺有效侦测措施,导致未能有效侦测黑客以暴力攻击资讯系统,令黑客能成功获取具管理员权限的账户凭证,并进行勒索软件攻击和窃取储存系统内的个人资料。
同时,数码港亦没有为远端存取资料启用多重认证功能,以核实获授权可远端登入数码港网络的用户身份,导致黑客能利用获取的账户,凭证透过远端桌面连接进入数码港的网络,窃取个人资料。另外,资讯系统进行的保安审计不足,未能适时应对资讯科技变化和网络安全风险等原因,造成是次外泄。
私隐专员钟丽玲表示,数码港于事故中外泄的逾1.3万人的个人资料中,有四成属求职者及已离职的雇员。而数码港是一间具规模的机构,恒常持有并处理大量不同人士的个人资料,持分者和公众会合理期望数码港投入足够资源,确保系统和数据安全,因此应采取足够保安措施。
但数码港并未有采取所有切实可行步骤,确保涉事个人资料受保障和不受未获准许或意外的查阅和处理,以及确保个人资料的保存时间不超过使用该资料实际所需的时间,部分资料更由2016年保留至今,违反个人资料保留的规定,公署已向数码港送达执行通知,指示数码港在两个月内纠正。同时,公署亦建议公司设立个人资料私隐管理系统,并委任保障资料主任,适时对系统进行风险评估,并适时删除个人资料,防止类似违规再次发生。
数码港:已加强有关个人资料管理措施
数码港今日(2日)表示,就早前遭受网络攻击事件,专责小组已完成有关工作并向董事会汇报,数码港亦已向私隐专员公署提交调查报告。
数码港指,在事件发生后随即成立专责小组严肃跟进,包括迅速提升防范黑客攻击的能力,采取多项措施包括巩固网络防护屏障,强化侦测网络攻击及入侵的能力,并成功堵截后续网络攻击;委托专业第三方定期进行网络安全监测及道德黑客入侵测试;以及增加监察网络安全的工具等,提升网络安全保护能力。
数码港亦积极联系及支援受影响人士,包括为受影响人士提供免费信贷监察服务及暗网身份监察服务。在涉事黑客的暗网瓦解后,有关监察服务仍然维持生效。
数码港称,已加强多项措施,持续提升各个营运层面的资讯系统保安及数据安全的水平和意识。数码港亦已经审视并加强有关个人资料管理的措施,以确保完全符合《个人资料(私隐)条例》订明的个人资料保障原则。
去年8月遭黑客入侵
数码港去年8月遭黑客组织Trigona入侵,被黑客盗取约400GB资料及勒索30万美元的赎金,数码港拒绝交赎金后,资料在“暗网”被公开,当中包括数码港公司的董事局会议资料、合作公司资料和招标及合约文件,以及员工个人资料。@
责任编辑:陈真
