香港私隱專員公署就數碼港公司資安事故的調查報告

更新於 發佈於 閱讀時間約 3 分鐘

香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告

報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html)

事件源於數碼港向私隱專員公署通報資料外洩事故(該資料外洩事故),表示其電腦系統及檔案伺服器遭受到勒索軟件攻擊及惡意加密。自稱Trigona的黑客組織要求數碼港支付贖金,為已被加密的檔案解鎖。事件導致超過13,000名資料當事人的個人資料外洩,當中約四成受影響人士為求職者及已離職僱員。

報告指出數碼港就資訊保安上有五個大的缺失,致令事件發生:

1.      資訊系統欠缺有效的偵測措施,導致未能有效地偵測黑客以暴力攻擊其資訊系統,令黑客能成功獲取具管理員權限的帳戶憑證,並繼而進行勒索軟件攻擊及竊取儲存於系統內的個人資料;


2.      沒有為遠端存取資料啟用多重認證功能,以核實獲授權可遠端登入數碼港網絡的用戶身分,導致黑客能利用獲取的帳戶憑證透過遠端桌面連接進入數碼港的網絡,竊取個人資料;


3.      對資訊系統進行的保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險;


4.      資訊保安政策有欠具體 ,未能讓員工有一個具體的網絡保安框架可依循;及


5.      個人資料被不必要地保留:沒有根據其資料保留政策在保留期屆滿後刪除所收集得的個人資料,導致約四成受影響人士因其個人資料被不必要地保留而受該資料外洩事故影響。


筆者會歸類第1和第2項是技術上的缺失。我們作為資安業者,向來不敢以「滴水不漏」自居,因為知道這世界沒有最安全的環境,而且科技日新月異,資訊保安的措施理應與時並進。但此報告上看,數碼港很大可能是已經有很多年沒有更新甚保安方案,致令黑客能使用brute force attacks而沒有有效的方案去防止,亦沒有通報。

在平衡可用性和安全性上,如果一個戶口被頻密重複輸入錯誤密碼,理應有一個機制去停止。舉例如暫時鎖定帳戶,並於確定是帳戶持有人錯誤操作或忘記密碼前,並不容許解開帳戶。這是從防御方面入手,截停入侵者再繼續嘗試。其次是在偵測到這種不尋常的行為時,理應有警示給與資安人員。比如發電郵、短訊等予相關帳戶持有人、其直屬上司及資安人員。以確定相關帳戶是否已經被入侵者鎖定,以進行進一步的登入。

其二是在現今已經在說着MFA也有機會不安全的情況,Cyberport竟然是沒有對遠端登入進行2FA、MFA的操作。致令只要能取得密碼就能登入。這是令人非常震驚的一件事情!

至於第3至第5項,其實並非很深奧的資安技術,反而是非常基礎的IT審計。如果每年都有做General IT Control 的審計,其實第1至2項很早就會被審計師發現並提議整改。整改成本不大,基本就是用一些Next Generation Firewall皆幾乎標準配置的技援MFA的VPN、SIEM或者有Alert功能的通報。

同時,GITC的IT Audit亦會就現有的資安政策進行檢視,如沒有的企業固然要撰寫資安政策,就算已有的都需要每年進行審計師的檢視,以確保符合現今標準並且貼合業務所需。

最後一項,在IT Audit的年度審計一樣無所遁形,因為審計師一樣會就着公司的政策和法規要求,去做數據樣本分析,以確保公司的數據不會保存過多或過少。而已經淘汰的數據亦應及時清除,以符合當地法規。

筆者暫未知道相關公司的年度審計的操作方式,但如果能確切執行IT年度審計,這五大缺失皆是可避免的。而綜合現有資訊,我亦肯定該駭客組織亦無需使用甚麼進階技術,只是使用非常尋常的攻擊技術已經可以攻破相關公司的資安架構。

這事件非常值得各機構借鑑,很多時並非我們遇到甚麼強大的敵人,而是我們自己有太大的破綻。

 

留言
avatar-img
留言分享你的想法!
avatar-img
左先生的沙龍
23會員
100內容數
現職風險管理部總監、兼任大學資安講師及博士研究生。語言學、電腦罪案、工商管理及傳媒管理碩士學位。CISSP、CISA、CISM、CRISC、CHFI、PMP及ISO27001首席審計師資格。也是一名被資安生涯耽誤的詩人及酒徒,作品散見於網路及台港詩刊,持國際唎酒師資格......興趣太廣泛的大孩子。
左先生的沙龍的其他內容
2025/01/20
本文探討AI人工智慧的應用,涵蓋語音辨識、圖片辨識、翻譯、預測模型建立、資料分析及網路安全等面向,並說明AI如何提升效率及準確性,例如更精準的語音轉文字、更人性化的翻譯、更有效的資料分析及更快速的網路安全威脅偵測等。文章最後提及AI圖像生成的強大能力,並預告後續將深入探討AI運作機制及算力概念。
2025/01/20
本文探討AI人工智慧的應用,涵蓋語音辨識、圖片辨識、翻譯、預測模型建立、資料分析及網路安全等面向,並說明AI如何提升效率及準確性,例如更精準的語音轉文字、更人性化的翻譯、更有效的資料分析及更快速的網路安全威脅偵測等。文章最後提及AI圖像生成的強大能力,並預告後續將深入探討AI運作機制及算力概念。
2024/09/12
隨著生成式AI的興起,AI幻覺的問題日漸受到重視。AI幻覺指的是AI生成內容中的虛構與現實重疊現象,造成錯誤資訊的擴散。造成這一現象的原因包括訓練數據不足、模型缺失及惡意資訊注入。
Thumbnail
2024/09/12
隨著生成式AI的興起,AI幻覺的問題日漸受到重視。AI幻覺指的是AI生成內容中的虛構與現實重疊現象,造成錯誤資訊的擴散。造成這一現象的原因包括訓練數據不足、模型缺失及惡意資訊注入。
Thumbnail
2024/07/20
2024年7月19日,全球出現大規模的電腦擋機事故,相信就算不是在IT界發展的,對於微軟視窗的藍畫面也是略有所聞。微軟由很多年前的作業系統版本開始,就有藍底白字顯示錯誤的畫面,也就是所謂的「死機」。這就是世界聞名的Blue Screen of Death (BSoD)。
Thumbnail
2024/07/20
2024年7月19日,全球出現大規模的電腦擋機事故,相信就算不是在IT界發展的,對於微軟視窗的藍畫面也是略有所聞。微軟由很多年前的作業系統版本開始,就有藍底白字顯示錯誤的畫面,也就是所謂的「死機」。這就是世界聞名的Blue Screen of Death (BSoD)。
Thumbnail
看更多
你可能也想看
Thumbnail
孩子寫功課時瞇眼?小心近視!這款喜光全光譜TIONE⁺光健康智慧檯燈,獲眼科院長推薦,網路好評不斷!全光譜LED、180cm大照明範圍、5段亮度及色溫調整、350度萬向旋轉,讓孩子學習更舒適、保護眼睛!
Thumbnail
孩子寫功課時瞇眼?小心近視!這款喜光全光譜TIONE⁺光健康智慧檯燈,獲眼科院長推薦,網路好評不斷!全光譜LED、180cm大照明範圍、5段亮度及色溫調整、350度萬向旋轉,讓孩子學習更舒適、保護眼睛!
Thumbnail
創作者營運專員/經理(Operations Specialist/Manager)將負責對平台成長及收入至關重要的 Partnership 夥伴創作者開發及營運。你將發揮對知識與內容變現、影響力變現的精準判斷力,找到你心中的潛力新星或有聲量的中大型創作者加入 vocus。
Thumbnail
創作者營運專員/經理(Operations Specialist/Manager)將負責對平台成長及收入至關重要的 Partnership 夥伴創作者開發及營運。你將發揮對知識與內容變現、影響力變現的精準判斷力,找到你心中的潛力新星或有聲量的中大型創作者加入 vocus。
Thumbnail
在行動裝置安全日益嚴峻的環境下,保護手機資料至關重要。使用者除了養成良好的使用習慣之外,也需要定期更新手機OS系統來提升資料安全防護力,而企業端也可以透過APP加殼加密的方式,讓APP達到更高水平的防護。
Thumbnail
在行動裝置安全日益嚴峻的環境下,保護手機資料至關重要。使用者除了養成良好的使用習慣之外,也需要定期更新手機OS系統來提升資料安全防護力,而企業端也可以透過APP加殼加密的方式,讓APP達到更高水平的防護。
Thumbnail
此為四年前舊文,雖然講的是香港,不過將其中的 #情報操作者 邪惡政權代換成邪惡政權的在地協力政黨、協力媒體與配合網軍也還可以看得懂,各種應對策略也大同小異。關鍵在民意,所以敵國要使愛國者失去民意,並從中分化。明天不是 5/17 那樣出人意料的集結,各方勢力都做好準備了。黑心的那些人可能故意製造衝突。
Thumbnail
此為四年前舊文,雖然講的是香港,不過將其中的 #情報操作者 邪惡政權代換成邪惡政權的在地協力政黨、協力媒體與配合網軍也還可以看得懂,各種應對策略也大同小異。關鍵在民意,所以敵國要使愛國者失去民意,並從中分化。明天不是 5/17 那樣出人意料的集結,各方勢力都做好準備了。黑心的那些人可能故意製造衝突。
Thumbnail
在今日的數位時代,網路資安事件已成為全球關注的焦點。最近,聯成公司遭受的網路資安攻擊事件,不僅凸顯了資訊安全的重要性,也提醒我們對於核心技術的防護不能有絲毫懈怠。 2024年4月9日,聯成公司的部分資訊系統遭到駭客攻擊。公司發現網路傳輸異常後,迅速啟動資安防禦和復原機制。
Thumbnail
在今日的數位時代,網路資安事件已成為全球關注的焦點。最近,聯成公司遭受的網路資安攻擊事件,不僅凸顯了資訊安全的重要性,也提醒我們對於核心技術的防護不能有絲毫懈怠。 2024年4月9日,聯成公司的部分資訊系統遭到駭客攻擊。公司發現網路傳輸異常後,迅速啟動資安防禦和復原機制。
Thumbnail
香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告 報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html) 事件源於數碼港向私隱專員公署通報資料外
Thumbnail
香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告 報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html) 事件源於數碼港向私隱專員公署通報資料外
Thumbnail
前幾天看到一則標題『貼牌的中國製智慧門鈴內含安全漏洞』,讓我想到以前寫過類似的故事,關於小型資訊公司與貼牌軟體漏洞的故事,也想重新整理思路當面對類似問題無論是開發公司或是購買軟體的公司該如何面對。
Thumbnail
前幾天看到一則標題『貼牌的中國製智慧門鈴內含安全漏洞』,讓我想到以前寫過類似的故事,關於小型資訊公司與貼牌軟體漏洞的故事,也想重新整理思路當面對類似問題無論是開發公司或是購買軟體的公司該如何面對。
Thumbnail
手機及網路已深入日常生活與消費習慣,春節期間不管是出遊派還是在宅派都會使用手機或各種網路服務,例如查詢出遊走春資訊、景點打卡、簡訊拜年、網路購物、線上追劇等等。對此,數位發展部資通安全署指出,使用便利服務的同時,也要注意資安防護,像是不法集團常常利用釣魚網站假連結,騙取民眾輸入個資或信用卡資料。
Thumbnail
手機及網路已深入日常生活與消費習慣,春節期間不管是出遊派還是在宅派都會使用手機或各種網路服務,例如查詢出遊走春資訊、景點打卡、簡訊拜年、網路購物、線上追劇等等。對此,數位發展部資通安全署指出,使用便利服務的同時,也要注意資安防護,像是不法集團常常利用釣魚網站假連結,騙取民眾輸入個資或信用卡資料。
Thumbnail
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
Thumbnail
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
Thumbnail
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。 除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
Thumbnail
近期,我們可以從媒體上看到兩起資安事件分別在KKday和京鼎公司發生,前者是被前員工從內部搞鬼而被竊密,後者是被外部駭客攻破防線而受到勒索。 除了資安防護的重要性可見一般,還凸顯企業在資安防護上必須要有全方位的準備。更建議從法遵的角度,對於資安風險管理進行積極且全面地落實,以提升自身資安防護環境。
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News