私隱專員公署今日(2日)公布數碼港資料外洩事故調查報告,指事故源於五項缺失,包括資訊系統欠缺有效偵測措施,個人資料被不必要保留等。私隱專員鍾麗玲表示,公署已將報告及執行通知送達數碼港,要求對方在兩個月完成有關指示,之後向公署提交證據,又指如果再次違規,將是刑事罪行。
公署認為,數碼港未有採取切實可行步驟,確保涉事個人資料受保障和不受未獲准許或意外的查閱和處理等,以及確保資料保存時間,不超過使用資料實際所需時間,違反相關規定。
公署指,數碼港資訊系統欠缺有效偵測措施,導致未能有效偵測黑客以暴力攻擊資訊系統,令黑客能成功獲取具管理員權限的賬戶憑證,並進行勒索軟件攻擊和竊取儲存系統內的個人資料。
鍾麗玲表示,早前數碼港向私隱專員公署通報資料外洩事故,表示其電腦系統及檔案伺服器遭受到勒索軟件攻擊及惡意加密。自稱 Trigona 的黑客組織要求數碼港支付贖金,為已被加密的檔案解鎖。事件導致超過1.3萬名資料當事人的個人資料外洩,當中約5290名受影響人士為求職者及已離職僱員。
去年8月,數碼港電腦系統遭黑客組織Trigona入侵,並在「暗網」公開資料,當中包括數碼港公司的董事局會議資料、合作公司資料和招標及合約文件,亦包括員工個人資料,包括相片、身份證副本、銀行單據,並載有員工的薪金資料等。(圖為資料圖)