香港私隐公署指数码港因五缺失引致个资外泄

香港私隐公署指数码港因五缺失引致个资外泄香港个人资料私隐专员公署（简称私隐专员公署）星期二（4月2日）发表香港数码港管理有限公司（简称数码港）资料外泄事故的调查报告，显示此事故是由五项缺失导致。综合《明报》和网媒“香港01”等报道，数码港去年8月发现系统被黑客组织入侵，盗取逾1万3000人的资料，在勒索不果后将这些资料上传暗网，造成资料外泄。相关资料超过400GB，包括相关人士的姓名、身份证号、护照号码、银行账户信息等。根据网络安全专家的调查，事故起因是黑客取得数码港一个具管理员权限的账户凭证，通过远端桌面连接进入内部网络，随后通过各种工具进行网络恶意活动，致使数码港13个Windows系统和两台虚拟服务器被入侵。私隐专员公署说，上述事故波及1万3632人，当中约四成为求职者和已离职雇员（5292人）。私隐专员公署报告列出导致事故的五项缺失，即一、数码港的资讯系统欠缺有效的侦测措施；二、没有为远端存取资料启用多重认证功能，以核实获授权可远端登入数码港网络的用户身份；三、对资讯系统进行的保安审计不足，事发前最后一次审计距离资料外泄事故发生已超过19个月，无法适时应对资讯科技的变化和网络安全的风险；四、未能让员工有具体的网络保安框架可依循；五、没有根据资料保留政策在保留期届满后删除所收集得的个人资料。2024年4月2日5:43PM

私隐专员公署就公司注册处资料外泄事件展开调查

私隐专员公署就公司注册处资料外泄事件展开调查私隐专员公署表示，留意到公司注册处的资料外泄事故，涉及约11万名资料当事人。考虑到受影响的人数众多，公署已即时就事件展开调查，并已建议有关部门尽快通知受影响人士。公司注册处表示，已开始向受影响当事人分批通知、解释及致歉，亦已完成紧急维修，封堵资料进一步外泄的风险，又指受影响人士的个人资料外泄情况包括姓名、完整护照号码、完整身份证号码、通常住址、电话号码及电邮。2024-05-0322:15:37

公司注册处早前资料外泄事件影响约11万人　已完成紧急维修

公司注册处早前资料外泄事件影响约11万人已完成紧急维修公司注册处的「电子服务网站」早前发生个人资料外泄，处方表示受影响当事人约为11万人，已开始分批通知、解释及致歉，亦已完成紧急维修，封堵资料进一步外泄的风险。公司注册处表示，受影响人士的个人资料外泄情况包括姓名、完整护照号码、完整身份证号码、通常住址、电话号码及电邮。处方说，已完成调查，结果显示，承办商在设计系统时，除了提供查册相关资料，还将额外个人资料传输到客户端电脑。虽然这些额外资料并不会显示在查册结果页面上，但如果查册者在查册结果页面上，利用开发者工具，便会取得额外的个人资料。如查册者透过编写程式查阅资料，也会取得部分额外的个人资料。公司注册处又发现以电子方式提交持牌放债人委任第三方的通知书时，也曾出现同样情况。公司注册处表示，十分关注个人资料外泄的风险，正征询个人资料私隐专员公署和政府资讯科技总监办公室的意见，全面检视事件及进一步加强保障个人资料的措施，以防止同类事件发生。2024-05-0320:36:58

港专档案伺服器被入侵　或部分学校文件或个人资料外泄

港专档案伺服器被入侵或部分学校文件或个人资料外泄香港专业进修学校发言人表示，2月下旬发现遭受高阶持续性黑客的勒索软件攻击，校方的资讯科技网络和档案伺服器被非法入侵，部分文件档案被盗取及加密，当中或涉及部分学校文件或个人资料外泄。港专发言人说，校方得悉事件后立即采取行动，包括向警方报案及配合调查，并向个人资料私隐专员公署备案；关闭受影响的电脑设备、在独立网络安全专家的协助下迅速展开详细调查、持续全面检视及调查受影响的资料。港专发言人强调，是次攻击并非一般，而是极具针对性及不寻常的网络攻击。港专谴责任何网络犯罪行为，并对事件造成的不便及困扰深表歉意。校方将为所有受影响人士提供为期半年的免费「信贷监察服务」及「暗网监控服务」，以加强保护个人资料。2024-05-0921:06:08

葛珮帆：政府部门接二连三发生资料外泄不能接受　应严肃调查

葛珮帆：政府部门接二连三发生资料外泄不能接受应严肃调查近日政府部门接连发生外泄个人资料事故，其中公司注册处的事件影响约11万人。立法会资讯科技及广播事务委员会主席葛珮帆形容事件可大可少，一旦资料被公开恶意利用，后果可以很严重。她认为外泄事件接二连三发生是不能接受，政府应严肃调查，并根据合约追究承办商责任。葛珮帆在本台节目《千禧年代》表示，资讯科技办公室一直有指引，要求各个部门保护市民私隐，如果要求资科办每日去管各部门的情况，并不切实可行。她认为随著政府部门数码化，部门首长要就相关事件问责，促请公务员事务局责成部门首长做好网络安全，如果再发生类似事件，要有人问责或接受纪律处分。香港资讯科技商会荣誉会长方保侨在同一节目说，公司注册处外泄事件，绝对是系统设计问题，属不应犯的错误，应在系统推出前就要发现。他促请当局汲取今次经验，由资科办作出检视，不同部门本身有亦有资讯科技部门，日后成立数字政策辧公室，不应各自为政，不断重复犯错。另外，机电署早前一度泄漏围封强检的17000个人资料，方保侨指出公共数据不应放在外间云端伺服器，一旦承办商更改系统权限，情况难以控制。2024-05-0609:12:50

逾32万香港账号资料外泄 港隐私署批评Carousell犯根本性错误

逾32万香港账号资料外泄港隐私署批评Carousell犯根本性错误网购平台Carousell超过32万个香港账号资料去年外泄，香港个人资料隐私专员公署批评Carousell在安全方面犯了根本性错误。综合《明报》和《星岛日报》报道，公署星期四（12月21日）发布这起事件的调查报告。署方调查发现，Carousell集团在进行系统迁移时，推出了一个使用者应用程序介面，以显示用户所追踪的所有用户，但由于人为错误，过程中遗漏一个可令搜寻结果不显示私人账号个人资料的过滤器，导致推出介面时显示了个人资料。Carousell表示，有关情况为编码错误。隐私专员钟丽玲指，黑客于去年5月及6月，通过一个来自缅甸的互联网服务供应商的IP地址，撷取了46个账号资料，随后黑客利用这46个账号追踪了大量其他账号并获取了他们的个人资料，其中一个账号追踪了逾81万个账号。钟丽玲认为，Carousell没有在系统迁移前进行隐私影响评估，编码复检程序不全面，也欠缺有效的侦测措施，在保障集团持有的个人资料安全方面犯了“根本性错误”、令人非常失望。公署已向Carousell发出执行通知，指示平台纠正其违反事项，防止有关情况再次发生。涉及260万名Carousell用户的个人资料去年外泄，当中包括逾32万个香港用户账号，外泄的个人资料包括电邮地址、电话号码及出生日期等。2023年12月21日3:07PM