香港私隐公署指数码港因五缺失引致个资外泄

香港私隐公署指数码港因五缺失引致个资外泄 香港个人资料私隐专员公署（简称私隐专员公署）星期二（4月2日）发表香港数码港管理有限公司（简称数码港）资料外泄事故的调查报告，显示此事故是由五项缺失导致。 综合《明报》和网媒“香港01”等报道，数码港去年8月发现系统被黑客组织入侵，盗取逾1万3000人的资料，在勒索不果后将这些资料上传暗网，造成资料外泄。相关资料超过400GB，包括相关人士的姓名、身份证号、护照号码、银行账户信息等。 根据网络安全专家的调查，事故起因是黑客取得数码港一个具管理员权限的账户凭证，通过远端桌面连接进入内部网络，随后通过各种工具进行网络恶意活动，致使数码港13个Windows系统和两台虚拟服务器被入侵。 私隐专员公署说，上述事故波及1万3632人，当中约四成为求职者和已离职雇员（5292人）。 私隐专员公署报告列出导致事故的五项缺失，即一、数码港的资讯系统欠缺有效的侦测措施；二、没有为远端存取资料启用多重认证功能，以核实获授权可远端登入数码港网络的用户身份；三、对资讯系统进行的保安审计不足，事发前最后一次审计距离资料外泄事故发生已超过19个月，无法适时应对资讯科技的变化和网络安全的风险；四、未能让员工有具体的网络保安框架可依循；五、没有根据资料保留政策在保留期届满后删除所收集得的个人资料。 2024年4月2日 5:43 PM

私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正

私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正 个人资料私隐专员公署完成有关消委会资料外泄事故的调查，私隐专员钟丽玲表示，事故是由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定。她已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。钟丽玲指出，消委会的缺失包括没有为远端存取资料启用多重认证功能、没有妥善设定用作侦测及拦截网路安全威胁的软件、欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料、资讯保安政策有欠全面及具体，以及保障个人资料私隐及网络安全意识不足。私隐专员公署提出多项建议，以减低资讯系统被攻击的风险，包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网路保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效的培训计划，加强员工对资料私隐的意识和能力。公署说，消委会资料外泄事故涉及超过450人，包括投诉人、资讯科技服务供应商员工，以及消委会现职和前员工的个人资料。消委会去年9月曾交代，电脑系统遭黑客入侵，被勒索50万至70万美元赎金，现职员工、前员工、家属、《选择》月刊订购户及投诉人等的资料可能外泄。 2024-05-02 11:07:17 (1)

#港闻【Now新闻台】数码港去年八月被黑客勒索，超过1万3千人个人资料外泄。私隐专员公署指，数码港违反保障资料规定。

#港闻 【Now新闻台】数码港去年八月被黑客勒索，超过1万3千人个人资料外泄。私隐专员公署指，数码港违反保障资料规定。 公署指，数码港资讯系统没有为远端存取资料启用多重认证功能，导致黑客透过远端桌面连接进入数码港网络，窃取系统中的个人资料，同时部分受影响人士资料，被保留超过期限，导致近四成人不必要地受事件影响 。 公署认为数码港未有采取足够及有效措施保障资讯系统安全，向他们发出执行通知，需要彻底检视资讯系统安全及保安措施 。 数码港回应指，已加强多项措施提升资讯系统保安及数据安全。