数码港黑客入侵｜五大缺失累逾1.3万人资料外泄　私隐署裁两违规

数码港去年8月遭黑客入侵盗取400GB资料，黑客勒索不果后相关资料于暗网被公开。个人资料私隐专员公署今日（2日）发表调查报告，指事件有13,632人受影响，又认为数码港无采取切实步骤确保个人资料不被泄漏，及无确保个人资料保存时间不超过使用所需时间，违反《私隐条例》中的两项保障资料原则规定。公署又斥数码港五大不足，包括无为远端存取资料启用多重认证功能、不必要地保留个人资料等，已向数码港发执行通知，指示其纠正。

8000名求职者及离职者资料保留超过期限

私隐专员钟丽玲表示，事件共有13,632人受影响，包括近8,000名与雇佣相关人士，其中5,292名求职者及离职者资料保留超过期限，其他受影响人士包括数码港管理人员、酒店职员、实习生及相关业务人士等。外泄资料包括身份证号码、银行户口号码、信用卡资料等。

违《私隐条例》两原则　包括没确保保存时间不超过其使用目的所需时间

她表示，经公署调查后，认为数码港在事件中违反《私隐条例》6个保障资料原则中的两个，包括第2原则，确保个人资料保存时间不超过其使用目的的所需时间；以及第4原则，确保其持有个人资料受保障而不受未获准许或意外泄漏，被查阅、处理及删除等。

▼9月14日　数码港交代遭黑客入侵善后工作▼

钟又指中数码港五大不足，包括资讯系统欠有效侦测措施，指数码港未能侦测黑客入侵，“数码港仅仅依赖一款反恶意软件嚟侦测，系明显不足同唔成比例”;第二是无为远端存取资料启用多重认证功能，强调若有多重认证功能确认帐户身份，便能阻止黑客用该帐户远端进入数码港网络。

第三点是数码港对资料系统的保安审计不足，钟丽玲指数码港每两年才对资料系统做保安审计，事发前最后一次已在2021年年尾进行，即时隔超过19个月，批评频率不足；第四点则是资讯保安政策欠具体。

钟又说，事件受影响人士中有近4成人资料因不必要被保留才受牵连，指数码港第五点不足，正是不必要保留个人资料，“如果数码港删除已届保留期限嘅资料，受影响人数会大幅减少。”

她说，公署已向数码港发出执行通知，包括要求数码港检视其个人资料资讯系统安全及保安措施、实施多重身份认证、至少每年做一次风险评估及保安审计，及销毁所有逾期保留的个人资料等。

个人资料私隐专员公署列数码港五大缺失：

1.资讯系统欠缺有效侦测措施
2.没有为远端存取资料启用多重认证功能
3.资讯系统保安审计不足
4.资讯保安政策欠具体，没有网络保安框架供员工依循
5.不必要地保留个人资料

2016年应销毁资料未销毁　数码港未能提供解释

钟丽玲表示，根据公署接获的投诉中，有最早2016年保存至今的应销毁但未销毁资料，惟相关机构未能提供解释为何保存至今。

数码港须两个月内提交证据证明已执行公署纠正指令

被问到数码港虽然违反保障资料原则，但未有任何罚则，钟丽玲称公署已于3月26日向数码港发执行指令，要求两个月内、即5月26日须提交证据证明已执行，否则属违法，公署会跟进。她又称，公署正与政府检视修订《私隐条例》，包括加强罚则及引入入行政罚款，“我觉得唔应该系小修小补咁修订，应该整个修。”

方保侨称没双重验证致失守　吁用组成复杂密码及定期更新

香港资讯科技商会荣誉会长方保侨表示，黑客以“暴力攻击”、即“撞密码”形式取得管理员帐户，料是权力较高的帐户，之后可用管理员权限，关闭侦测系统，进行“横向攻击”取得更多帐资料。他强调若数码港做更多验证，例如“撞太多密码”会发电邮告之持有人或管理层、一些双重验证，例如一次性密码等，就不会发生今次泄漏事件。

他又提到数码港2021年曾经做过资讯系统的保安审计，指若当时有落实相关建议措施，或可避免事件。他指今次是不小心错误加上好多巧合引起的意外，政府及其他机构应取教训，做好老生常谈的网络安保工作，包括使用复杂密码、定期更新密码等。