數碼港資料洩漏 專家：管理層長期疏忽

一個名為「Trigona」的黑客組織早前宣稱盜取數碼港超過400GB資料，並向數碼港勒索30萬美元，相關資料疑於昨日已被洩漏。電腦安全研究員賴灼東今早在一個港台節目指，只要上到「暗網」就可以接觸到相關資料，他又質疑數碼港沒有定期進行網絡保安措施，並稱直至昨晚仍發現數碼港有服務器有問題。

網上有消息指，數碼港被盜資料已經在「Trigona」的網站發佈（released），並附上經模糊的截圖，隱約可見有香港身分證、證件相等，並註明「Leaked」（已洩漏）。

賴灼東表示，現時只要上到「暗網」就有機會接觸到外洩的資料。而勒索軟件並非新鮮事，但近幾年興起並針對科技公司的網路漏洞盜取資料，「基本上漏洞和設定是很多年前的設定，或已經出現很久的漏洞，不是說他（黑客）技術高超，而是他很有耐性，找一些出名的公司看它的網絡上有沒有機會有漏洞，它的服務器有無漏洞」。黑客在發現有漏洞後，會入侵受害人的資料進行勒索，如果受害人不付錢就會公開資料進行第二次勒索。

賴灼東指，直至昨晚仍見到數碼港有服務器有問題，認為數碼港沒有定期進行網絡保安措施，「如果有做（網絡保安措施），基本上那些漏洞很早就封鎖，如果定期做」。他又指，政府部門每年都會進行網絡保安檢查或滲透性測試，他質問科技園有否定期進行相關測試，並直言「今次入侵（黑客）用的漏洞和錯誤設定，本身是兩三年前甚至更久遠前（被發現）的漏洞，（數碼港）不應該犯這個錯誤」。他質疑事件涉數碼港管理層長期疏忽。

香港就資料外洩事件沒有懲處

賴灼東認為數碼港現時應將有問題的互聯網服務器下架，及主動向受影響的員工或人士作出賠償。他說，根據外國案例，如果發生這類事件，相關機構會被懲處，以及向受影響人士賠償一千至四千美元不等。

他又指，香港不斷發生資料洩漏就是因為沒有懲處，「在沒有懲處下，那麼多公司一年又一年有很多資料洩漏然後不了了之，例如國泰、八達通」，認為政府需檢討政策。

他又指，很多學校和公司被盜取資料，都是因為將資料放在共享硬碟，至於預防方法則包括雙重認證及定期更新漏洞。被問到如果有機構被盜取資料及勒索，賴灼東說通常不建議機構交贖金，除非完全機構沒有備份相關資料，而導致公司無法運作。他又指，勒索軟件背後可能並非一個組織，有很多地下組織都和他們有關係，「他會將受害人資料給第二個團隊，第二個團隊繼續做，根本是沒有止境」。

孫東：譴責事件已指示數碼港提升保護

創新科技及工業局長孫東今日回應事件時表示對事件予以強烈譴責。他說已聽取數碼港匯報事件，今次受到攻擊的是部門的文件儲存系統，已指示數碼港要提升對網絡系統和敏感數據文件的保護，堵塞漏洞。數碼港亦需聯絡和支援受影響人士，配合警方和獨立網絡安全專家調查，並適時向公眾披露更多的信息。他又透露，數碼港在過去數個星期受到多次攻擊，但都沒有造成資料洩漏。

孫東又指，已緊急指示資訊科技辦公室採取措施，資科辦昨晚連夜向政府部門和公營機構發電郵，要求檢討存放數據的系統安全。他說要從今次事件汲取教訓，避免同類事情再發生。