【葛珮帆：数码港资讯保安系统没有做多重认证，属于很低级保安错误】

【葛珮帆：数码港资讯保安系统没有做多重认证，属于很低级保安错误】2024年04月05日10点48分老不正经报道，数码港去年8月遭黑客入侵，大批资料被盗。个人资料私隐专员公署调查报告指出，数码港事故存在五大缺失，包括资讯系统欠缺有效侦测措施，个人资料被不必要保留等，导致超过1.3万人的资料外泄。立法会资讯科技及广播事务委员会主席葛珮帆昨日在电台节目表示，数码港资讯保安系统没有做多重认证，令黑客打通所有通道，属于很低级保安错误，不应该发生。

电脑安全专家认为数码港应就黑客入侵赔偿受影响人士

电脑安全专家认为数码港应就黑客入侵赔偿受影响人士数码港上月被黑客入侵，多达400GB个人资料被盗及外泄。电脑安全研究员赖灼东表示，数码港现时应该把有问题的互联网服务器下架，亦应该向受影响的员工或人士作出赔偿。他说根据外国的案例，如果发生这类事件，相关机构会向受影响人士赔偿1千至4千元美金不等。对于数码港表示，早前注意到「暗网」上有疑似与事件有关的资料被披露。赖灼东在本台节目《千禧年代》说，任何人如果浏览到「暗网」，就有可能接触到这些资料，又说有关勒索软件在近几年兴起，专门针对一些科技公司，利用受害人或公司的网络漏洞，从而进行攻击。立法会议员吴杰庄在同一节目说，涉及被外泄的资料数量大，要了解是否涉及人为或系统问题，认为数码港应重新检视内部操作手册、保安系统和网络安全有没有定期更新。他又认为当局应检视各政府部门有无可能发生类似事件。2023-09-1308:48:39

私隐专员公署调查：数码港未能有效侦测黑客暴力攻击资讯系统

私隐专员公署调查：数码港未能有效侦测黑客暴力攻击资讯系统私隐专员公署公布数码港资料外泄事故调查报告，指数码港未有采取足够和有效措施，保障资讯系统安全，也未有及时根据保留资料政策，删除已届保存期限的资料。公署认为，数码港未有采取切实可行步骤，确保涉事个人资料受保障和不受未获准许或意外的查阅和处理等，以及确保资料保存时间，不超过使用资料实际所需时间，违反相关规定。公署说，数码港资讯系统欠缺有效侦测措施，导致未能有效侦测黑客以暴力攻击资讯系统，令黑客能成功获取具管理员权限的帐户凭证，并进行勒索软件攻击和窃取储存系统内的个人资料。公署说，数码港没有为远端存取资料启用多重认证功能、核实获授权可远端登入数码港网络的用户身分；又指对资讯系统进行的保安审计不足，未能适时应对资讯科技变化和网络安全风险。私隐专员钟丽玲认为，数码港是一间具规模的机构，恒常持有并处理大量不同人士的个人资料，持分者和公众会合理期望数码港投入足够资源，确保系统和数据安全，因此应采取足够保安措施。公署表示，私隐专员已向数码港送达执行通知，指示纠正违反事项，又建议公司设立个人资料私隐管理系统，并委任保障资料主任，适时对系统进行风险评估，及适时删除个人资料，防止类似违规再次发生。数码港去年向公署通报资料外泄事故，电脑系统和档案伺服器被勒索软件攻击和恶意加密，事故导致超过13000人的个人资料外泄。2024-04-0211:08:25(1)

数码港资料外泄 私隐公署:未有采取有效措施保障资讯系统安全

#港闻【Now新闻台】数码港去年八月被黑客勒索，超过1万3千人个人资料外泄。私隐专员公署指，数码港违反保障资料规定。公署指，数码港资讯系统没有为远端存取资料启用多重认证功能，导致黑客透过远端桌面连接进入数码港网络，窃取系统中的个人资料，同时部分受影响人士资料，被保留超过期限，导致近四成人不必要地受事件影响。公署认为数码港未有采取足够及有效措施保障资讯系统安全，向他们发出执行通知，需要彻底检视资讯系统安全及保安措施。数码港回应指，已加强多项措施提升资讯系统保安及数据安全。

数码港专责小组调查指数据管理存改善空间　加强多项措施

数码港专责小组调查指数据管理存改善空间加强多项措施数码港表示，就早前发生的网络遭受攻击事件，董事局成立的专责小组，已完成督导调查及跟进等工作，数码港已向个人资料私隐专员公署提交调查报告。数码港指，专责小组的调查发现，数码港在内部资讯保安及数据管理方面存在改善空间。数码港已加强多项措施，持续提升各个营运层面的资讯系统保安及数据安全水平和意识；同时已审视并加强有关个人资料管理的措施，以确保完全符合《个人资料（私隐）条例》订明的个人资料保障原则。数码港董事、网络安全事件专责小组主席伍志强表示，自事件发生以来，专责小组与管理层积极审视及即时跟进，快速增强网络及数据防护屏障，有效防范后续的网络入侵攻击，并致力支援受影响人士，尽力减低潜在影响，以及全面配合有关部门与私隐专员公署的调查。数码港亦会加强内部审查，定期检视执行资讯保安措施的情况，并向董事局辖下的审计委员会汇报，提升相关管治水平。数码港主席陈细明表示，面对网络攻击日趋严重，数码港以保障网络及数据安全为首位，继续优化整体网络系统及资讯保安策略，积极采取资讯保安措施。2024-04-0210:16:25

香港私隐公署指数码港因五缺失引致个资外泄

香港私隐公署指数码港因五缺失引致个资外泄香港个人资料私隐专员公署（简称私隐专员公署）星期二（4月2日）发表香港数码港管理有限公司（简称数码港）资料外泄事故的调查报告，显示此事故是由五项缺失导致。综合《明报》和网媒“香港01”等报道，数码港去年8月发现系统被黑客组织入侵，盗取逾1万3000人的资料，在勒索不果后将这些资料上传暗网，造成资料外泄。相关资料超过400GB，包括相关人士的姓名、身份证号、护照号码、银行账户信息等。根据网络安全专家的调查，事故起因是黑客取得数码港一个具管理员权限的账户凭证，通过远端桌面连接进入内部网络，随后通过各种工具进行网络恶意活动，致使数码港13个Windows系统和两台虚拟服务器被入侵。私隐专员公署说，上述事故波及1万3632人，当中约四成为求职者和已离职雇员（5292人）。私隐专员公署报告列出导致事故的五项缺失，即一、数码港的资讯系统欠缺有效的侦测措施；二、没有为远端存取资料启用多重认证功能，以核实获授权可远端登入数码港网络的用户身份；三、对资讯系统进行的保安审计不足，事发前最后一次审计距离资料外泄事故发生已超过19个月，无法适时应对资讯科技的变化和网络安全的风险；四、未能让员工有具体的网络保安框架可依循；五、没有根据资料保留政策在保留期届满后删除所收集得的个人资料。2024年4月2日5:43PM