數碼港黑客入侵｜五大缺失累逾1.3萬人資料外泄　私隱署裁兩違規

數碼港去年8月遭黑客入侵盜取400GB資料，黑客勒索不果後相關資料於暗網被公開。個人資料私隱專員公署今日（2日）發表調查報告，指事件有13,632人受影響，又認為數碼港無採取切實步驟確保個人資料不被泄漏，及無確保個人資料保存時間不超過使用所需時間，違反《私隱條例》中的兩項保障資料原則規定。公署又斥數碼港五大不足，包括無為遠端存取資料啟用多重認證功能、不必要地保留個人資料等，已向數碼港發執行通知，指示其糾正。

8000名求職者及離職者資料保留超過期限

私隱專員鍾麗玲表示，事件共有13,632人受影響，包括近8,000名與僱傭相關人士，其中5,292名求職者及離職者資料保留超過期限，其他受影響人士包括數碼港管理人員、酒店職員、實習生及相關業務人士等。外泄資料包括身份證號碼、銀行戶口號碼、信用卡資料等。

違《私隱條例》兩原則　包括沒確保保存時間不超過其使用目的所需時間

她表示，經公署調查後，認為數碼港在事件中違反《私隱條例》6個保障資料原則中的兩個，包括第2原則，確保個人資料保存時間不超過其使用目的的所需時間；以及第4原則，確保其持有個人資料受保障而不受未獲准許或意外泄漏，被查閱、處理及刪除等。

▼9月14日　數碼港交代遭黑客入侵善後工作▼

鍾又指中數碼港五大不足，包括資訊系統欠有效偵測措施，指數碼港未能偵測黑客入侵，「數碼港僅僅依賴一款反惡意軟件嚟偵測，係明顯不足同唔成比例」;第二是無為遠端存取資料啟用多重認證功能，強調若有多重認證功能確認帳戶身份，便能阻止黑客用該帳戶遠端進入數碼港網絡。

第三點是數碼港對資料系統的保安審計不足，鍾麗玲指數碼港每兩年才對資料系統做保安審計，事發前最後一次已在2021年年尾進行，即時隔超過19個月，批評頻率不足；第四點則是資訊保安政策欠具體。

鍾又說，事件受影響人士中有近4成人資料因不必要被保留才受牽連，指數碼港第五點不足，正是不必要保留個人資料，「如果數碼港刪除已屆保留期限嘅資料，受影響人數會大幅減少。」

她說，公署已向數碼港發出執行通知，包括要求數碼港檢視其個人資料資訊系統安全及保安措施、實施多重身份認證、至少每年做一次風險評估及保安審計，及銷毁所有逾期保留的個人資料等。

個人資料私隱專員公署列數碼港五大缺失：

1.資訊系統欠缺有效偵測措施
2.沒有為遠端存取資料啟用多重認證功能
3.資訊系統保安審計不足
4.資訊保安政策欠具體，沒有網絡保安框架供員工依循
5.不必要地保留個人資料

2016年應銷毁資料未銷毀　數碼港未能提供解釋

鍾麗玲表示，根據公署接獲的投訴中，有最早2016年保存至今的應銷毁但未銷毀資料，惟相關機構未能提供解釋為何保存至今。

數碼港須兩個月內提交證據證明已執行公署糾正指令

被問到數碼港雖然違反保障資料原則，但未有任何罰則，鍾麗玲稱公署已於3月26日向數碼港發執行指令，要求兩個月內、即5月26日須提交證據證明已執行，否則屬違法，公署會跟進。她又稱，公署正與政府檢視修訂《私隱條例》，包括加強罰則及引入入行政罰款，「我覺得唔應該係小修小補咁修訂，應該整個修。」

方保僑稱沒雙重驗證致失守　籲用組成複雜密碼及定期更新

香港資訊科技商會榮譽會長方保僑表示，黑客以「暴力攻擊」、即「撞密碼」形式取得管理員帳戶，料是權力較高的帳戶，之後可用管理員權限，關閉偵測系統，進行「橫向攻擊」取得更多帳資料。他強調若數碼港做更多驗證，例如「撞太多密碼」會發電郵告之持有人或管理層、一些雙重驗證，例如一次性密碼等，就不會發生今次泄漏事件。

他又提到數碼港2021年曾經做過資訊系統的保安審計，指若當時有落實相關建議措施，或可避免事件。他指今次是不小心錯誤加上好多巧合引起的意外，政府及其他機構應取教訓，做好老生常談的網絡安保工作，包括使用複雜密碼、定期更新密碼等。