私隱專員公署今日(2日)公布數(shù)碼港資料外洩事故調(diào)查報告,指事故源於五項缺失,包括資訊系統(tǒng)欠缺有效偵測措施,個人資料被不必要保留等。私隱專員鍾麗玲表示,公署已將報告及執(zhí)行通知送達(dá)數(shù)碼港,要求對方在兩個月完成有關(guān)指示,之後向公署提交證據(jù),又指如果再次違規(guī),將是刑事罪行。
公署認(rèn)為,數(shù)碼港未有採取切實可行步驟,確保涉事個人資料受保障和不受未獲準(zhǔn)許或意外的查閱和處理等,以及確保資料保存時間,不超過使用資料實際所需時間,違反相關(guān)規(guī)定。
公署指,數(shù)碼港資訊系統(tǒng)欠缺有效偵測措施,導(dǎo)致未能有效偵測黑客以暴力攻擊資訊系統(tǒng),令黑客能成功獲取具管理員權(quán)限的賬戶憑證,並進(jìn)行勒索軟件攻擊和竊取儲存系統(tǒng)內(nèi)的個人資料。
鍾麗玲表示,早前數(shù)碼港向私隱專員公署通報資料外洩事故,表示其電腦系統(tǒng)及檔案伺服器遭受到勒索軟件攻擊及惡意加密。自稱 Trigona 的黑客組織要求數(shù)碼港支付贖金,為已被加密的檔案解鎖。事件導(dǎo)致超過1.3萬名資料當(dāng)事人的個人資料外洩,當(dāng)中約5290名受影響人士為求職者及已離職僱員。
去年8月,數(shù)碼港電腦系統(tǒng)遭黑客組織Trigona入侵,並在「暗網(wǎng)」公開資料,當(dāng)中包括數(shù)碼港公司的董事局會議資料、合作公司資料和招標(biāo)及合約文件,亦包括員工個人資料,包括相片、身份證副本、銀行單據(jù),並載有員工的薪金資料等。(圖為資料圖)