黑客「撕票」私隱任睇 數碼港淪「無碼港」
近170員工出糧資料遭公開 專家倡引入罰則
數碼港早前遭惡名昭彰的國際黑客集團Trigona入侵盜取多達400GB機密文檔,疑因數碼港拒付「贖金」,黑客攬炒昨晨「撕票」悉數將文檔放上「暗網」(Deep Web)任人下載,當中包括數碼港近8年的財務報告、借貸狀況、高層敏感個人資料,以至多個政府部門文件及招標合約通通公諸於世。私隱專員公署表示,暫接獲一宗受影響人士的查詢。電腦安全專家相信,黑客利用數碼港2021年的系統漏洞入侵,機密資料外洩可能造成巨大損失,但香港法例對於未妥善保管及堵塞漏洞的公司懲罰輕微,未起阻嚇力,建議效法新加坡引入罰則。◆香港文匯報記者 文禮願
數碼港8月中發現部分電腦檔案被鎖上,懷疑未經授權的第三方曾入侵其電腦系統,未料風波未止息。涉事的國際黑客集團Trigona隨即將盜竊的數碼港機密資料放上「暗網」拍賣,更獅子開大口索價234萬港元,但限期屆滿後,據悉數碼港仍拒付「贖金」,Trigona昨日在「暗網」發出「已洩露」(Released)帖文,隨即將總數多達400GB的機密文檔上傳,供任何人下載窺探內容。
香港文匯報記者發現,部分可供下載的資料涉及數碼港的核心發展計劃,屬高度商業機密。當中包括近170名員工的個人資料、人工、強積金供款紀錄,亦有人事部密碼以及年度財務預算,還有數碼港近年的發展項目計劃、高層聯絡電話、各委員會開會會議紀錄,就連幾位核心人物如數碼港行政總裁任景信、首席營運官鄭希穎及首席公眾使命官陳思源等月薪,一一被公開。
專家:重要資料勿放一檔案內
雲端與流動運算專業人士協會會長陳家豪接受香港文匯報訪問時表示,今次被入侵事故屬嚴重警示,應從中汲取教訓,包括在整理及儲存機密資料時,要做好系統分割,而不是將重要資料一併存放在一個檔案內,導致一旦被黑客入侵時「一鑊熟」被盜走大批資料。
陳家豪坦言,黑客可藉陌生電郵或連結入侵企業的電腦,也可假扮成熟人甚至旗下員工,再透過電郵「播毒」。他建議數碼港應做好恒常入侵測試,確保防火牆等維護系統能抵禦各種入侵或攻擊,「提議數碼港考慮使用雲端運算內提供的高度保安環境儲存重要資料,減低外洩風險。」
國際專業人士金融犯罪防制協會主席陳樂禧表示,外洩員工薪酬檔案及數碼港發展大計均涉及大量私隱及機密,事件反映數碼港的安全意識不足,有必要盡快堵塞漏洞,避免有更多機密資料流出。
指數碼港應賠償受害人和公司
電腦安全及事故應變專家賴灼東指出,今次洩漏規模巨大,數碼港必須賠償受害人和公司,並調查員工人為過失和系統漏洞。他相信,黑客是利用2021年的系統漏洞入侵,反映數碼港在系統風險評估和修補漏洞上有疏忽,「洩漏資料站點位於巴拿馬,當地政府管理相對鬆散,由特區政府要求當地移除網站十分困難,目前數碼港只能盡快聯絡受害人,並商討合理的賠償方案。」
他指出,香港目前沒有針對資料外洩的法例和罰則,同類事件通常只由私隱專員公署調查和警告,欠缺阻嚇力,亦令企業疏於加強數碼保安。他建議特區政府參考新加坡,一旦公司造成資料洩漏,可被罰款折合600萬港元。
私隱專員公署回應指,暫時接獲一宗受影響人士的查詢,署方已根據既定程序,就事件展開審查。
數碼港發言人則指出,作為惡意入侵的受害者,對於所有形式的網絡犯罪行為予以嚴厲譴責。公司向公眾保證,已採取積極果斷的措施來加強其網絡安全。
