香港个人资料私隐专员公署(简称私隐专员公署)星期二(4月2日)发表香港数码港管理有限公司(简称数码港)资料外泄事故的调查报告,显示此事故是由五项缺失导致。

综合《明报》和网媒“香港01”等报道,数码港去年8月发现系统被黑客组织入侵,盗取逾1万3000人的资料,在勒索不果后将这些资料上传暗网,造成资料外泄。相关资料超过400GB,包括相关人士的姓名、身份证号、护照号码、银行账户信息等。

根据网络安全专家的调查,事故起因是黑客取得数码港一个具管理员权限的账户凭证,通过远端桌面连接进入内部网络,随后通过各种工具进行网络恶意活动,致使数码港13个Windows系统和两台虚拟服务器被入侵。

私隐专员公署说,上述事故波及1万3632人,当中约四成为求职者和已离职雇员(5292人)。

私隐专员公署报告列出导致事故的五项缺失,即一、数码港的资讯系统欠缺有效的侦测措施;二、没有为远端存取资料启用多重认证功能,以核实获授权可远端登入数码港网络的用户身份;三、对资讯系统进行的保安审计不足,事发前最后一次审计距离资料外泄事故发生已超过19个月,无法适时应对资讯科技的变化和网络安全的风险;四、未能让员工有具体的网络保安框架可依循;五、没有根据资料保留政策在保留期届满后删除所收集得的个人资料。