【數碼港資料外洩】私隱公署評5大缺失　無足夠措施保系統安全

發佈於 April 3, 2024

數碼港去年中發生資料外洩事件，私隱專員公署發表調查報告，指數碼港欠缺足夠措施保障系統安全，以致去年兩度被黑客入侵及勒索，影響逾 1.3 萬人，當中有四成個人資料更已超過保留期限而未有刪除。公署認為事件涉及五大缺失，敦促數碼港糾正。

經過 7 個月調查，公署表示事件共有 13,632 人受影響，包括近 8,000 名與僱傭有關人士，涉及 5,292 名求職者及已離職者資料。事件中外洩的個人資料除了姓名、身分證號碼、護照號碼、聯絡資料外，亦有部分人的財務資料、健康資料、照片、社交媒體帳戶資料等。

根據數碼港的資料保留政策列明，求職者資料只會保存一年，惟在外洩的個人資料中，卻發現有早於 2016 年求職者的資料，數碼港亦未能解釋保留資料原因。公署認為數碼港不必要地保留個人資料，令受影響人數增加。

公署又質疑，數碼港作為一間儲存大量個人資料的機構，事發時僅依賴一款反惡意軟件程式偵測異常活動，措施明顯不足及不成比例，以致未能有效偵測黑客以暴力攻擊其資訊系統。另外，事發時數碼港未有為遠端存取資料啟用多重認證功能，令黑客成功透過管理員帳戶進入網絡。

調查又發現，數碼港每兩年資訊系統作保安審計，事發前最近一次審計在 2021 年底，公署認為審計頻率不足，未能適時應對資訊科技變化及網絡安全風險。基於違反《私隱條例》，私隱專員公署向數碼港送達執行通知，指示數碼港在兩個月內糾正，如再違規將屬刑事罪行。

數碼港表示事發後已加強多項措施，持續提升各個營運層面的資訊系統保安及數據安全的水平和意識，亦已經審視並加強有關個人資料管理的措施，以確保完全符合《私隱條例》訂明的個人資料保障原則。

唔想成為下一個騙案受害人？

【密碼無加密】 WiFi Finder 洩密公開 Wi-Fi hotspot 連接危機