數碼港黑客入侵｜專家轟數碼港審計當交功課　籲資料被泄者可索償

私隱專員公署周二（2日）公布數碼港上年8月資料外洩調查報告，指數碼港沒有為遠端存取資料啟用多重認證功能、不必要地保留個人資料等，並向數碼港發執行通知要求糾正缺失。電腦安全研究員賴灼東今早（3日）指，數碼港只靠一款反惡意程式，防範黑客成效有限。有不少公司會以第三方電腦監測公司系統，每半年審計員工資料，但數碼港對上一次審計已是19個月前，質疑數碼港「當交功課」。他又批評，部份個人資料7年未刪有問題，「你（數碼港）估你博物館咩𠵱家？」他呼籲受害人認真考慮向數碼港索償。

賴灼東在港台節目《千禧年代》指，今次黑客透過取得數碼港管理層帳戶、密碼後，再以解密鑰獲取公司不同資料，變相令擁有一組密碼後，就可存取任何權限，包括關除公司的保安權限，若然只靠反惡意程式成效則有不足。

他補充，有公司會以第三方電腦監測，當發現系統有異動時，便會即時通知或遭到入侵；另外，由於雖然公司有時難以找到系統漏洞，但仍可啟用雙重認證登入系統，而相關技術10年前已經相當成熟。賴灼東表示，在上述兩種保障下，「起碼可以拖延（入侵）時間」，而數碼港作為具規模的公司，「係應該要做到呢啲監測」。

至於公署報告提到，數碼港對上一次審計員工資料是2021年尾，事隔超過19個月。賴灼東就回應指，部分公司規模不如數碼港，但仍可能半年進行分階段資料審計，甚至會以「紅隊」攻擊公司系統，再讓公司找出漏洞填補、防範入侵，政府部門亦是每年一次，今次數碼港「係咪應該加強返（保安）？而唔係當（審計）交功課？」

賴灼東：受害人可認真考慮索償　唔可以講聲Sorry就算

而針對數碼港事後應變措施，包括監測已外洩的員工資料有否被運用，以及加強網絡保安，賴灼東就指「完全無驚喜」、「係應該、應份要做嘅嘢」。他又指，數碼港不應以為事件告一段落，因黑客知道弱點後，或會再作攻擊。

部份資料2016年起一直未銷毀　賴灼東：博物館咩？

賴灼東呼籲，事件受害人在數碼港完成監測後，要認真考慮向其索償，要令機構承認、改善問題，數碼港則應與受害人協商和解。賴灼東又稱，部份資料從2016年保留到事件發生時，批「你（數碼港）估你博物館咩𠵱家？唔可以講聲Sorry就算」；而今次事件管理層需顧及受害人感受，「唔好當打份工去諗」，因數碼港地位舉足輕重，會影響本港形象。

葛珮帆：數碼港宜延長監測時間　私隱公署需助民事索償

立法會資訊科技及廣播事務委員會主席葛珮帆在同一節目亦提出，政府本身都有「紅隊」演練入侵，也會收集情報，訓練應對黑客入侵。至於已洩漏的個人資料雖然無法下架，數碼港只監測一年並不足夠，希望公司可延長監測，並成立小組為有需要受害人提供心理輔導，公署則要協助部分人向數碼港提出民事索償。