#港闻【Now新闻台】数码港去年八月被黑客勒索，超过1万3千人个人资料外泄。私隐专员公署指，数码港违反保障资料规定。

#港闻 【Now新闻台】数码港去年八月被黑客勒索，超过1万3千人个人资料外泄。私隐专员公署指，数码港违反保障资料规定。 公署指，数码港资讯系统没有为远端存取资料启用多重认证功能，导致黑客透过远端桌面连接进入数码港网络，窃取系统中的个人资料，同时部分受影响人士资料，被保留超过期限，导致近四成人不必要地受事件影响 。 公署认为数码港未有采取足够及有效措施保障资讯系统安全，向他们发出执行通知，需要彻底检视资讯系统安全及保安措施 。 数码港回应指，已加强多项措施提升资讯系统保安及数据安全。

香港私隐公署指数码港因五缺失引致个资外泄

香港私隐公署指数码港因五缺失引致个资外泄 香港个人资料私隐专员公署（简称私隐专员公署）星期二（4月2日）发表香港数码港管理有限公司（简称数码港）资料外泄事故的调查报告，显示此事故是由五项缺失导致。 综合《明报》和网媒“香港01”等报道，数码港去年8月发现系统被黑客组织入侵，盗取逾1万3000人的资料，在勒索不果后将这些资料上传暗网，造成资料外泄。相关资料超过400GB，包括相关人士的姓名、身份证号、护照号码、银行账户信息等。 根据网络安全专家的调查，事故起因是黑客取得数码港一个具管理员权限的账户凭证，通过远端桌面连接进入内部网络，随后通过各种工具进行网络恶意活动，致使数码港13个Windows系统和两台虚拟服务器被入侵。 私隐专员公署说，上述事故波及1万3632人，当中约四成为求职者和已离职雇员（5292人）。 私隐专员公署报告列出导致事故的五项缺失，即一、数码港的资讯系统欠缺有效的侦测措施；二、没有为远端存取资料启用多重认证功能，以核实获授权可远端登入数码港网络的用户身份；三、对资讯系统进行的保安审计不足，事发前最后一次审计距离资料外泄事故发生已超过19个月，无法适时应对资讯科技的变化和网络安全的风险；四、未能让员工有具体的网络保安框架可依循；五、没有根据资料保留政策在保留期届满后删除所收集得的个人资料。 2024年4月2日 5:43 PM

数码港称已跟进网络安全专家建议　当局称拟引内地经验加强安全

数码港称已跟进网络安全专家建议　当局称拟引内地经验加强安全 私隐专员公署日前公布数码港资料外泄事故调查报告，指源于五项缺失，包括资讯系统欠缺有效侦测措施。在立法会一个委员会会议上，数码港表示，已跟进网络安全专家就资讯系统保安提出的16项建议，当中15项已完成，亦委托独立顾问监控暗网等。有议员建议政府成立队伍，统筹协助不同政府部门的网络安全问题。政府资讯科技总监黄志光表示，当局正计划引入内地的数据安全经验及相关机构，包括进行网络攻防演练，加强香港网络安全生态。 2024-04-08 18:29:43

私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正

私隐公署：消委会缺失致450人资料外泄涉违规　已指示纠正 个人资料私隐专员公署完成有关消委会资料外泄事故的调查，私隐专员钟丽玲表示，事故是由于消委会的缺失所致，没有采取所有切实可行的步骤以确保个人资料受保障，违反了私隐条例的规定。她已向消委会送达执行通知，指示消委会纠正及防止类似违规情况再发生。钟丽玲指出，消委会的缺失包括没有为远端存取资料启用多重认证功能、没有妥善设定用作侦测及拦截网路安全威胁的软件、欠缺足够保安措施禁止或防止于测试伺服器内储存个人资料、资讯保安政策有欠全面及具体，以及保障个人资料私隐及网络安全意识不足。私隐专员公署提出多项建议，以减低资讯系统被攻击的风险，包括对遥距登入资讯及通讯系统使用多重身份验证、设定稳健的网路保安框架、定期对资讯系统进行风险评估及保安审计、建立重视数据安全的企业文化及建立有效的培训计划，加强员工对资料私隐的意识和能力。公署说，消委会资料外泄事故涉及超过450人，包括投诉人、资讯科技服务供应商员工，以及消委会现职和前员工的个人资料。消委会去年9月曾交代，电脑系统遭黑客入侵，被勒索50万至70万美元赎金，现职员工、前员工、家属、《选择》月刊订购户及投诉人等的资料可能外泄。 2024-05-02 11:07:17 (1)

#港闻【Now新闻台】消委会回应指，事故发生后已采取即时行动纠正问题，指重视私隐专员公署建议，会持续提升资讯系统保安系统及数据安

#港闻 【Now新闻台】消委会回应指，事故发生后已采取即时行动纠正问题，指重视私隐专员公署建议，会持续提升资讯系统保安系统及数据安全。 消委会强调，受影响的个人资料非常有限，并不涉及信用卡、银行帐户及财务资料，至今无发现外泄的资料被公开。

私隐专员裁定世界币违反私隐条例　要求停止收集虹膜及面容影像

私隐专员裁定世界币违反私隐条例　要求停止收集虹膜及面容影像 个人资料私隐专员公署完成对Worldcoin「世界币」项目的调查，私隐专员钟丽玲裁定「世界币」在香港的运作违反《私隐条例》，已发出执行通知，要求停止以虹膜扫瞄装置收集巿民的虹膜及面容影像。 调查结果显示，「世界币」违反《私隐条例》有关个人资料的收集、保留、透明度、查阅及改正资料的保障资料原则，收集面容及虹膜影像并非必需，而且超乎适度；对于「世界币」会保留个人资料长达10年，用作训练核实身分程序的人工智能模型，公署认为时间过长，属于过度保留个人资料。公署又指，「世界币」收集个人资料之时或之前，参与者未获清楚告知法例上订明需要告知的资讯，包括收集个人资料的目的以及参与者查阅和更正个人资料的权利和方式等；「世界币」不公平地收集个人资料，相关《私隐声明》和《生物辨识资料同意书》的内容不但欠缺中文版本，营运点的职员亦不会向参与者，解说或确认他们明白文件的内容，更不会告知参与者向其披露生物辨识资料的风险又或解答参与者的问题。 公署去年12月至今年1月曾到「世界币」在港的6个营运点先后「放蛇」10次，1月底持法庭手令进入有关营运点调查，经过两轮查讯后完成调查。调查发现，参与「世界币」项目的人士需要让有关机构透过虹膜扫瞄收集其面容及虹膜影像以「验证」人类身分及制作虹膜编码，借此获取注册身分，可定期免费获得虚拟货币「世界币」。「世界币」确认在香港营运期间共对8302人进行面容及虹膜扫瞄认证。 2024-05-22 13:13:20