香港私隐公署指数码港因五缺失引致个资外泄

香港私隐公署指数码港因五缺失引致个资外泄香港个人资料私隐专员公署（简称私隐专员公署）星期二（4月2日）发表香港数码港管理有限公司（简称数码港）资料外泄事故的调查报告，显示此事故是由五项缺失导致。综合《明报》和网媒“香港01”等报道，数码港去年8月发现系统被黑客组织入侵，盗取逾1万3000人的资料，在勒索不果后将这些资料上传暗网，造成资料外泄。相关资料超过400GB，包括相关人士的姓名、身份证号、护照号码、银行账户信息等。根据网络安全专家的调查，事故起因是黑客取得数码港一个具管理员权限的账户凭证，通过远端桌面连接进入内部网络，随后通过各种工具进行网络恶意活动，致使数码港13个Windows系统和两台虚拟服务器被入侵。私隐专员公署说，上述事故波及1万3632人，当中约四成为求职者和已离职雇员（5292人）。私隐专员公署报告列出导致事故的五项缺失，即一、数码港的资讯系统欠缺有效的侦测措施；二、没有为远端存取资料启用多重认证功能，以核实获授权可远端登入数码港网络的用户身份；三、对资讯系统进行的保安审计不足，事发前最后一次审计距离资料外泄事故发生已超过19个月，无法适时应对资讯科技的变化和网络安全的风险；四、未能让员工有具体的网络保安框架可依循；五、没有根据资料保留政策在保留期届满后删除所收集得的个人资料。2024年4月2日5:43PM

数码港资料外泄　私隐专员公署至今接获11宗查询

数码港资料外泄私隐专员公署至今接获11宗查询个人资料私隐专员公署回应数码港资料外泄事故时表示，截至今日共接获11宗相关查询。私隐专员公署表示，在上月18日收到数码港的资料外泄事故通报，公署已根据既定程序就事件展开循规审查，亦已建议有关机构应尽快通知受影响人士，现阶段未能披露进一步资料。考虑到事故涉及个人资料外泄，已设立热线电话和电邮供公众查询或投诉，公署呼吁受影响人士若怀疑个人资料被外泄，可向公署或相关机构作出查询或投诉。公署指出，受影响人士要提高警惕，慎防个人资料被盗用，保障个人资料私隐，例如考虑更改网上帐户密码，并启用多重认证功能；留意个人电邮或帐户有没有不寻常的登入记录；审视银行月结单，以确定是否有任何未经授权的活动；收到不明来历或可疑的来电、短讯或电邮时要提高警觉，切勿随意打开附件或披露个人资料；以及对网络钓鱼及其他诈骗行为提高警觉。公署亦建议持有个人资料的机构，应制定针对资料管治和资料保安的内部政策和程序，包括委任合适的领导人员负责资料保安，及提供足够的培训予工作人员。在启用新系统和新应用程式前，以及在启用后定期进行资料保安风险评估，以及须采取合约规范方法或其他方法，以防止转移予资料处理者的个人资料在未获准许或意外的情况下被查阅、处理、删除、丧失或使用等。创新科技及工业局局长孙东就数码港被黑客入侵外泄个人资料事件表示强烈谴责，已经指示全面提升网络系统，当局亦要避免发生同类事件。2023-09-1317:46:58(2)

数码港资料外泄 私隐公署:未有采取有效措施保障资讯系统安全

#港闻【Now新闻台】数码港去年八月被黑客勒索，超过1万3千人个人资料外泄。私隐专员公署指，数码港违反保障资料规定。公署指，数码港资讯系统没有为远端存取资料启用多重认证功能，导致黑客透过远端桌面连接进入数码港网络，窃取系统中的个人资料，同时部分受影响人士资料，被保留超过期限，导致近四成人不必要地受事件影响。公署认为数码港未有采取足够及有效措施保障资讯系统安全，向他们发出执行通知，需要彻底检视资讯系统安全及保安措施。数码港回应指，已加强多项措施提升资讯系统保安及数据安全。

私隐专员公署调查：数码港未能有效侦测黑客暴力攻击资讯系统

私隐专员公署调查：数码港未能有效侦测黑客暴力攻击资讯系统私隐专员公署公布数码港资料外泄事故调查报告，指数码港未有采取足够和有效措施，保障资讯系统安全，也未有及时根据保留资料政策，删除已届保存期限的资料。公署认为，数码港未有采取切实可行步骤，确保涉事个人资料受保障和不受未获准许或意外的查阅和处理等，以及确保资料保存时间，不超过使用资料实际所需时间，违反相关规定。公署说，数码港资讯系统欠缺有效侦测措施，导致未能有效侦测黑客以暴力攻击资讯系统，令黑客能成功获取具管理员权限的帐户凭证，并进行勒索软件攻击和窃取储存系统内的个人资料。公署说，数码港没有为远端存取资料启用多重认证功能、核实获授权可远端登入数码港网络的用户身分；又指对资讯系统进行的保安审计不足，未能适时应对资讯科技变化和网络安全风险。私隐专员钟丽玲认为，数码港是一间具规模的机构，恒常持有并处理大量不同人士的个人资料，持分者和公众会合理期望数码港投入足够资源，确保系统和数据安全，因此应采取足够保安措施。公署表示，私隐专员已向数码港送达执行通知，指示纠正违反事项，又建议公司设立个人资料私隐管理系统，并委任保障资料主任，适时对系统进行风险评估，及适时删除个人资料，防止类似违规再次发生。数码港去年向公署通报资料外泄事故，电脑系统和档案伺服器被勒索软件攻击和恶意加密，事故导致超过13000人的个人资料外泄。2024-04-0211:08:25(1)

数码港：切实执行私隐公署建议　采取措施包括巩固网络防护屏障

数码港：切实执行私隐公署建议采取措施包括巩固网络防护屏障数码港表示，会详细审视私隐专员公署公布的数码港资料外泄事故调查报告，确保切实执行报告所提及的改善措施，并积极与公署跟进后续工作，按时完成执行通知。数码港表示，已委托额外的独立网络取证顾问监控暗网，并识别受影响人士，暂时未有收到有人士因事件而导致个人资料外泄造成重大财务影响的实际证据。对于公署调查发现数码港不必要地超过期限地保留个人资料，当中最长的个案由2016年开始保留。数码港回应表示，数码港已经删除所有已届1年保留期限的求职者个人资料，以及已届7年保留期限的离职雇员个人资料，又指一般而言数码港的个人资料保留时间以7年为限，数码港会不时按需要检视内部政策和程序，确保符私隐专员公署的要求。另外，数码港表示，在事件发生后随即成立专责小组严肃跟进，包括迅速提升防范黑客攻击的能力，采取多项措施包括巩固网络防护屏障，强化侦测网络攻击及入侵的能力，并成功堵截后续网络攻击，亦会加强内部审查，定期检视执行资讯安全措施的情况，并定期向董事局内的审计委员会汇报。2024-04-0220:37:44

【私隐专员公署：受影响人士提高警惕，慎防个人资料被盗用】

【私隐专员公署：受影响人士提高警惕，慎防个人资料被盗用】2023年09月13日09点32分老不正经报道，香港数码港上月遭黑客入侵，多达400GB的数据被盗取。根据社交平台流传的截图，黑客网站最新显示该批资料“已泄漏（Leaked）”，相关内容已在暗网公开。数码港昨天发声明指出，外泄资料包括个人姓名及联络方法，员工、前员工及求职者资料，以及小量信用卡资料。电脑安全研究员赖灼东接受电台访问时表示，除了黑客组织早前上载的员工相片、身份证副本、银行单据、婚姻证明书等个人资料外，目前可在暗网查阅部分资料夹清单，包括数码港董事局会议资料、年度计划、合作公司资料、招标及合约文件等，另外也牵涉政府部门相关文件，涉创新科技及工业局、建筑署、屋宇署和城规会。立法会议员吴杰庄在社交平台发帖文提到，了解到数码港泄漏的资料被公开，已即时与创科局联络，知悉创科局正在处理事件。个人资料私隐专员公署回应说，截至昨日，接获一宗受影响人士就有关事件的查询。私隐专员公署已经根据既定程序，就事件展开循规审查，建议相关机构应尽快通知受影响人士，又呼吁受影响人士提高警惕，慎防个人资料被盗用，更改网上账户密码、须留意电邮或账户不寻常登入纪录等。