數碼港被駭事故 私隱署抨五缺失 1.3萬人資料外洩 無力阻攻擊承諾糾正

本港創科旗艦數碼港去年8月遭黑客入侵，大批資料被盜。個人資料私隱專員公署昨日發表調查報告指出，數碼港在本次事故中存在五大缺失，事件導致逾1.3萬人的個人資料外洩，當中約四成為求職者及已離職僱員，因個人資料被不必要地保留而受影響。私隱專員公署敦促數碼港在兩個月內採取措施，糾正違規情況。

黑客組織Trigona去年8月入侵數碼港網絡，盜走超過400GB數據，因數碼港拒絕支付「贖金」，黑客其後在「暗網」公開相關資料。經過約7個月調查，私隱專員公署表示，事件有13632人受影響，包括近8000名與僱傭有關人士，其他則為數碼港管理人員、酒店職員、資助計劃實習生，以及與數碼港有業務往來的人士。

外洩的個人資料除了姓名、身份證號碼、護照號碼、聯絡資料外，還有部分人士的財務資料、健康資料、照片、社交媒體賬戶資料等。

保安審計兩年一次頻率不足

報告引述網絡安全專家指出，本次攻擊的起因，是黑客取得數碼港一個具管理員權限的賬戶憑證，透過遠端桌面連接進入數碼港網絡。其後，黑客透過各種工具進行網絡內部的橫向移動、防禦規避、資料竊取及放置勒索軟件等惡意活動。數碼港有13個Windows系統及兩台虛擬伺服器被入侵。

私隱專員公署認為，數碼港的資訊系統欠缺有效的偵測措施，作為儲存大量個人資料的機構，事發時數碼港僅依賴一款反惡意軟體程式偵測異常活動，「明顯是不足夠及不成比例」，導致未能有效偵測到黑客以暴力攻擊其資訊系統，並成功取得具管理員權限的賬戶憑證。

此外，事發時數碼港未有啟用多重認證功能，以核實獲授權可遠端登入數碼港網絡的用戶身份，讓黑客成功進入數碼港網絡。調查又發現，數碼港每兩年對資訊系統進行保安審計，對上一次審計於2021年尾進行，署方認為數碼港保安審計頻率明顯不足，未能適時應對資訊科技變化及網絡安全風險。

部分求職者資料逾期留7年

值得留意的是，本次受影響人士當中，約四成（5292人）為求職者及離職僱員。按照數碼港的資料保留政策，求職者的個人資料會保留一年，僱員的個人資料則於受僱期間保留；然而，數碼港未能解釋期限屆滿後仍保留該等人士個人資料的原因，私隱專員鍾麗玲透露，部分個人資料更由2016年保留至今。

基於違反《私隱條例》，私隱專員公署向數碼港送達執行通知，指示數碼港在兩個月內糾正，包括對資訊系統進行最少每年一次的風險評估及保安審計、銷毀所有逾期保留的個人資料等。若違反執行通知，即屬犯罪，將面臨罰款及監禁。

數碼港回應稱，高度重視私隱專員公署的報告。自事件發生以來，數碼港董事局的專責小組與管理層一直緊密跟進創新科技及工業局指示的工作方向，進一步提升防範黑客再次攻擊的能力，聯繫及支援受影響人士以減低潛在影響，將切實執行報告提出的改善措施，確保企業營運符合《私隱條例》。