数码港黑客入侵｜专家轰数码港审计当交功课　吁资料被泄者可索偿

私隐专员公署周二（2日）公布数码港上年8月资料外泄调查报告，指数码港没有为远端存取资料启用多重认证功能、不必要地保留个人资料等，并向数码港发执行通知要求纠正缺失。电脑安全研究员赖灼东今早（3日）指，数码港只靠一款反恶意程式，防范黑客成效有限。有不少公司会以第三方电脑监测公司系统，每半年审计员工资料，但数码港对上一次审计已是19个月前，质疑数码港“当交功课”。他又批评，部份个人资料7年未删有问题，“你（数码港）估你博物馆咩𠵱家？”他呼吁受害人认真考虑向数码港索偿。

赖灼东在港台节目《千禧年代》指，今次黑客透过取得数码港管理层帐户、密码后，再以解密钥获取公司不同资料，变相令拥有一组密码后，就可存取任何权限，包括关除公司的保安权限，若然只靠反恶意程式成效则有不足。

他补充，有公司会以第三方电脑监测，当发现系统有异动时，便会即时通知或遭到入侵；另外，由于虽然公司有时难以找到系统漏洞，但仍可启用双重认证登入系统，而相关技术10年前已经相当成熟。赖灼东表示，在上述两种保障下，“起码可以拖延（入侵）时间”，而数码港作为具规模的公司，“系应该要做到呢啲监测”。

至于公署报告提到，数码港对上一次审计员工资料是2021年尾，事隔超过19个月。赖灼东就回应指，部分公司规模不如数码港，但仍可能半年进行分阶段资料审计，甚至会以“红队”攻击公司系统，再让公司找出漏洞填补、防范入侵，政府部门亦是每年一次，今次数码港“系咪应该加强返（保安）？而唔系当（审计）交功课？”

赖灼东：受害人可认真考虑索偿　唔可以讲声Sorry就算

而针对数码港事后应变措施，包括监测已外泄的员工资料有否被运用，以及加强网络保安，赖灼东就指“完全无惊喜”、“系应该、应份要做嘅嘢”。他又指，数码港不应以为事件告一段落，因黑客知道弱点后，或会再作攻击。

部份资料2016年起一直未销毁　赖灼东：博物馆咩？

赖灼东呼吁，事件受害人在数码港完成监测后，要认真考虑向其索偿，要令机构承认、改善问题，数码港则应与受害人协商和解。赖灼东又称，部份资料从2016年保留到事件发生时，批“你（数码港）估你博物馆咩𠵱家？唔可以讲声Sorry就算”；而今次事件管理层需顾及受害人感受，“唔好当打份工去谂”，因数码港地位举足轻重，会影响本港形象。

葛珮帆：数码港宜延长监测时间　私隐公署需助民事索偿

立法会资讯科技及广播事务委员会主席葛珮帆在同一节目亦提出，政府本身都有“红队”演练入侵，也会收集情报，训练应对黑客入侵。至于已泄漏的个人资料虽然无法下架，数码港只监测一年并不足够，希望公司可延长监测，并成立小组为有需要受害人提供心理辅导，公署则要协助部分人向数码港提出民事索偿。