【數碼港資料外洩】私隱公署評5大缺失 無足夠措施保系統安全

    數碼港去年中發生資料外洩事件,私隱專員公署發表調查報告,指數碼港欠缺足夠措施保障系統安全,以致去年兩度被黑客入侵及勒索,影響逾 1.3 萬人,當中有四成個人資料更已超過保留期限而未有刪除。公署認為事件涉及五大缺失,敦促數碼港糾正。

    相關文章:
    【數碼港】8月中遭黑客入侵 逾400Gb資料網售235萬
    【數碼港被入侵】400GB數據暗網任睇 涉員工薪金履歷表

    經過 7 個月調查,公署表示事件共有 13,632 人受影響,包括近 8,000 名與僱傭有關人士,涉及 5,292 名求職者及已離職者資料。事件中外洩的個人資料除了姓名、身分證號碼、護照號碼、聯絡資料外,亦有部分人的財務資料、健康資料、照片、社交媒體帳戶資料等。

    根據數碼港的資料保留政策列明,求職者資料只會保存一年,惟在外洩的個人資料中,卻發現有早於 2016 年求職者的資料,數碼港亦未能解釋保留資料原因。公署認為數碼港不必要地保留個人資料,令受影響人數增加。

    公署又質疑,數碼港作為一間儲存大量個人資料的機構,事發時僅依賴一款反惡意軟件程式偵測異常活動,措施明顯不足及不成比例,以致未能有效偵測黑客以暴力攻擊其資訊系統。另外,事發時數碼港未有為遠端存取資料啟用多重認證功能,令黑客成功透過管理員帳戶進入網絡。

    調查又發現,數碼港每兩年資訊系統作保安審計,事發前最近一次審計在 2021 年底,公署認為審計頻率不足,未能適時應對資訊科技變化及網絡安全風險。基於違反《私隱條例》,私隱專員公署向數碼港送達執行通知,指示數碼港在兩個月內糾正,如再違規將屬刑事罪行。

    數碼港表示事發後已加強多項措施,持續提升各個營運層面的資訊系統保安及數據安全的水平和意識,亦已經審視並加強有關個人資料管理的措施,以確保完全符合《私隱條例》訂明的個人資料保障原則。

    唔想成為下一個騙案受害人?

    網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/
    #CyberSecurity #數碼港 #網絡安全

    相關文章