香港私隐公署发表数码港资料外泄事故调查报告

　　香港个人资料私隐专员公署(私隐公署)2日发表对香港数码港管理有限公司(数码港)资料外泄事故的调查报告。

　　数码港于2023年8月中旬发现系统被黑客入侵，导致逾1.3万名当事人的个人资料数据泄露，其中约四成为求职者或已离职雇员。相关资料超过400GB，包括相关人士的姓名、身份证号、护照号码、银行账户信息等。根据网络安全专家的针对性调查，事故起因是黑客取得数码港一个具管理员权限的账户凭证，通过远端桌面连接进入内部网络，随后通过各种工具进行网络恶意活动，致使数码港13个Windows系统和两台虚拟服务器被入侵。

　　私隐公署2日公布的调查报告中指出，此次资料外泄事故主要由5方面缺失导致：其一，数码港的资讯系统欠缺有效的侦测措施；其二，未启用远端存取资料多重认证功能，以核实获授权可远端登入数码港网络的用户身份；其三，对资讯系统进行的保安审计不足，事发前最后一次审计距离资料外泄事故发生已超过19个月，无法适时应对资讯科技的变化和网络安全的风险；其四，资讯保安政策欠具体，未给员工提供可依循的、具体的网络保安框架；其五，未根据其资料保留政策删除保留期届满的个人资料。