【明報專訊】數碼港去年發生資料外泄事故,個人資料私隱專員公署昨日發表調查報告,指事故有13,632人受影響,近四成屬個人資料被保留超過應有期限,惟數碼港未能解釋。公署批評數碼港有5項缺失,包括未為遠端存取資料啟用多重認證功能,裁定數碼港違反《私隱條例》資料保安及保留規定,並向數碼港發出執行通知,要求兩個月內糾正違反事項。香港資訊科技商會榮譽會長方保僑稱,網絡安全與帳戶保障同樣重要,若缺乏多重認證功能等保障,黑客便能掌握管理員帳戶,繼而關閉反惡意軟件及竊取資料,導致「火燒連環船」。
數碼港:小組加強防黑客 屆期資料已刪
數碼港早前公布人事變動,今日起由鄭松岩出任行政總裁,接替約滿離任的任景信。數碼港昨回覆稱,事故後已成立專責小組,包括提升防範黑客攻擊能力等,另會與私隱公署跟進後續工作,按時完成執行通知。數碼港表示已刪除所有已屆一年保留期限的求職者個人資料,以及已屆7年保留期限的離職僱員個人資料;各部門會定時檢視管有的資料,確保按保留政策適時刪除。
私隱署發執行通知 限兩月糾正
私隱專員公署昨表示,去年8月黑客透過「暴力攻擊」取得具管理權限的帳戶進入數碼港網絡,其後停止系統內唯一用作偵測異常活動的反惡意軟件,並兩度對伺服器檔案作勒索軟件攻擊及惡意加密,而第一次攻擊後,數碼港曾更改所有帳戶密碼,但未阻第二次攻擊。私隱專員鍾麗玲解釋,「暴力攻擊」是指黑客利用電腦程式生成密碼撞破帳戶,而最有效的防禦是啟用多重認證功能,即以第二重密碼防止入侵,惟數碼港未為遠端存取資料啟用相關功能,導致黑客可放置勒索軟件並竊取系統中的個人資料。
1.3萬人受影響 專員:刪逾期資料可大減
在逾1.3萬受影響者中,有8000人與僱傭有關。公署引述調查期間,數碼港提到按保留資料政策會保留求職者資料一年,而僱員資料只會在受僱期間保留;惟數碼港無根據政策,在保留期屆滿後刪除相關資料,涉5292名求職者及離職僱員,部分資料更自2016年一直保留。鍾相信,若數碼港當初根據政策刪除已到保留期限的資料,受影響人數會大減。她說目前共接獲65宗查詢及33宗投訴。
公署引述數碼港委聘的網絡安全專家調查報告,指多個伺服器及網絡儲存裝置被入侵,涉及13個Windows系統及兩台虛擬伺服器。公署調查顯示,數碼港事前無規定對其中一個受事件影響的系統,在啟用前做風險評估或獨立保安審計,屬明顯缺失。
專家:採逾一款反惡意軟件 需衡量系統速度
方保僑認為,一般機構均會對具權限的管理員帳戶採取保安措施,舉例若嘗試登入達一定次數,系統會阻止短期再次登入,並以應用程式等警告用戶,避免黑客短時期內「暴力攻擊」;另舉例有機構會採用限時動態密碼,以保障伺服器安全。
至於公署批評數碼港僅依賴一款反惡意軟件偵測異常活動屬「明顯不足及不成比例」,方保僑稱坊間不少機構均使用多於一款反惡意軟件,惟採用多於一款時,或會拖慢系統速度,故採用反惡意軟件數量視乎如何衡量兩者。
警方回覆稱,去年8月接獲數碼港報案,案件列作「有犯罪或不誠實意圖而取用電腦」,由網罪科跟進,暫無人被捕。
立法會資訊科技及廣播事務委員會主席葛珮帆稱,事故涉及大量個人和企業數據及敏感資料被盜,相關公司亦被勒索,情况不能接受,建議公私營機構均應增強網絡安全意識。
■明報報料熱線﹕inews@mingpao.com / 9181 4676
相關字詞﹕個人資料私隱專員公署 資料外泄 數碼港