香港私隱專員公署就數碼港公司資安事故的調查報告

閱讀時間約 3 分鐘

香港私隱專員公公署今日4/2/2024就數碼港公司去年的資安事故發表了調查報告

報告原文: (https://www.pcpd.org.hk/english/news_events/media_statements/press_20240402.html)

事件源於數碼港向私隱專員公署通報資料外洩事故(該資料外洩事故),表示其電腦系統及檔案伺服器遭受到勒索軟件攻擊及惡意加密。自稱Trigona的黑客組織要求數碼港支付贖金,為已被加密的檔案解鎖。事件導致超過13,000名資料當事人的個人資料外洩,當中約四成受影響人士為求職者及已離職僱員。

報告指出數碼港就資訊保安上有五個大的缺失,致令事件發生:

1.      資訊系統欠缺有效的偵測措施,導致未能有效地偵測黑客以暴力攻擊其資訊系統,令黑客能成功獲取具管理員權限的帳戶憑證,並繼而進行勒索軟件攻擊及竊取儲存於系統內的個人資料;


2.      沒有為遠端存取資料啟用多重認證功能,以核實獲授權可遠端登入數碼港網絡的用戶身分,導致黑客能利用獲取的帳戶憑證透過遠端桌面連接進入數碼港的網絡,竊取個人資料;


3.      對資訊系統進行的保安審計不足,未能適時應對資訊科技的變化及網絡安全的風險;


4.      資訊保安政策有欠具體 ,未能讓員工有一個具體的網絡保安框架可依循;及


5.      個人資料被不必要地保留:沒有根據其資料保留政策在保留期屆滿後刪除所收集得的個人資料,導致約四成受影響人士因其個人資料被不必要地保留而受該資料外洩事故影響。


筆者會歸類第1和第2項是技術上的缺失。我們作為資安業者,向來不敢以「滴水不漏」自居,因為知道這世界沒有最安全的環境,而且科技日新月異,資訊保安的措施理應與時並進。但此報告上看,數碼港很大可能是已經有很多年沒有更新甚保安方案,致令黑客能使用brute force attacks而沒有有效的方案去防止,亦沒有通報。

在平衡可用性和安全性上,如果一個戶口被頻密重複輸入錯誤密碼,理應有一個機制去停止。舉例如暫時鎖定帳戶,並於確定是帳戶持有人錯誤操作或忘記密碼前,並不容許解開帳戶。這是從防御方面入手,截停入侵者再繼續嘗試。其次是在偵測到這種不尋常的行為時,理應有警示給與資安人員。比如發電郵、短訊等予相關帳戶持有人、其直屬上司及資安人員。以確定相關帳戶是否已經被入侵者鎖定,以進行進一步的登入。

其二是在現今已經在說着MFA也有機會不安全的情況,Cyberport竟然是沒有對遠端登入進行2FA、MFA的操作。致令只要能取得密碼就能登入。這是令人非常震驚的一件事情!

至於第3至第5項,其實並非很深奧的資安技術,反而是非常基礎的IT審計。如果每年都有做General IT Control 的審計,其實第1至2項很早就會被審計師發現並提議整改。整改成本不大,基本就是用一些Next Generation Firewall皆幾乎標準配置的技援MFA的VPN、SIEM或者有Alert功能的通報。

同時,GITC的IT Audit亦會就現有的資安政策進行檢視,如沒有的企業固然要撰寫資安政策,就算已有的都需要每年進行審計師的檢視,以確保符合現今標準並且貼合業務所需。

最後一項,在IT Audit的年度審計一樣無所遁形,因為審計師一樣會就着公司的政策和法規要求,去做數據樣本分析,以確保公司的數據不會保存過多或過少。而已經淘汰的數據亦應及時清除,以符合當地法規。

筆者暫未知道相關公司的年度審計的操作方式,但如果能確切執行IT年度審計,這五大缺失皆是可避免的。而綜合現有資訊,我亦肯定該駭客組織亦無需使用甚麼進階技術,只是使用非常尋常的攻擊技術已經可以攻破相關公司的資安架構。

這事件非常值得各機構借鑑,很多時並非我們遇到甚麼強大的敵人,而是我們自己有太大的破綻。

 

12會員
64內容數
筆者有多年的品飲經驗,持有WSET及國際唎酒師認證,希望將品飲的樂趣介紹給讀者。 這個出版專題會以簡單易懂、親民價格的清酒作為分享內容,謝絕太專業向及高價逸品。同時筆者亦會就近年越受重視的資訊保安進行由淺入深的分析,跟進趨勢。 相信大家都能輕易進入的才是領域的真正門檻。
留言0
查看全部
發表第一個留言支持創作者!
左先生的沙龍 的其他內容
在當今的數位化時代,企業越來越依賴資訊技術系統來開展業務。隨著對資訊技術系統的依賴程度越來越高,企業必須確保其資料的安全性和完整性。ISO 27001 標準是一項中立和全球通用的標準,旨在為資訊安全管理系統提供了一個框架,隨着時代發現,ISO27001已更新至2022版本,以應對數字環境中不斷變化的
不論企業使用的伺服器和客戶端是使用何種作業系統,定期更新補丁是必不可少的。 這道理仿如真理,因為世界上還沒有一個作業系統是完全沒有漏洞的,只要有漏洞被發現,就要推出補丁,作為使用者的角色就得決定是否安裝。 筆者曾經和一些決策層交談,他們未必是IT業者,但也懂得補丁要越快更新越好。但其實這觀點並不
數天前,香港發生了一宗涉及2億港元的騙案。騙徒假冒一間跨國公司海外總部的CFO,要求分行財務人員參加一場機密會議,騙徒透過深偽技術生成虛擬短片,在「視像會議」上向職員作出「投資」指示,要求轉賬大額金錢至不同戶口......
A few days ago, a fraud case involving HK$200 million occurred in Hong Kong. The scammer pretended to be the CFO of a multinational company's overseas
  筆者最近和同行討論,關於駭客找尋目標的方法。其實近十年駭客對於選擇目標的方式其實已經變得很難猜測。 一般人會想到,駭客一定是會選擇一些利潤大的目標,如銀行、虛擬資產平台等等。但是不要忘記,這些財力雄厚的公司當然也知道自己是很容易成為目標,所以他們的防線也不是容易擊破的。
在企業IT環境,系統和數據的備份的重要性相信是不用解說,亦不用懷疑的。 但很時時候,企業忽略的並不是備份,而是Drill test的重要性。
在當今的數位化時代,企業越來越依賴資訊技術系統來開展業務。隨著對資訊技術系統的依賴程度越來越高,企業必須確保其資料的安全性和完整性。ISO 27001 標準是一項中立和全球通用的標準,旨在為資訊安全管理系統提供了一個框架,隨着時代發現,ISO27001已更新至2022版本,以應對數字環境中不斷變化的
不論企業使用的伺服器和客戶端是使用何種作業系統,定期更新補丁是必不可少的。 這道理仿如真理,因為世界上還沒有一個作業系統是完全沒有漏洞的,只要有漏洞被發現,就要推出補丁,作為使用者的角色就得決定是否安裝。 筆者曾經和一些決策層交談,他們未必是IT業者,但也懂得補丁要越快更新越好。但其實這觀點並不
數天前,香港發生了一宗涉及2億港元的騙案。騙徒假冒一間跨國公司海外總部的CFO,要求分行財務人員參加一場機密會議,騙徒透過深偽技術生成虛擬短片,在「視像會議」上向職員作出「投資」指示,要求轉賬大額金錢至不同戶口......
A few days ago, a fraud case involving HK$200 million occurred in Hong Kong. The scammer pretended to be the CFO of a multinational company's overseas
  筆者最近和同行討論,關於駭客找尋目標的方法。其實近十年駭客對於選擇目標的方式其實已經變得很難猜測。 一般人會想到,駭客一定是會選擇一些利潤大的目標,如銀行、虛擬資產平台等等。但是不要忘記,這些財力雄厚的公司當然也知道自己是很容易成為目標,所以他們的防線也不是容易擊破的。
在企業IT環境,系統和數據的備份的重要性相信是不用解說,亦不用懷疑的。 但很時時候,企業忽略的並不是備份,而是Drill test的重要性。
你可能也想看
Google News 追蹤
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
三階段課程,相信不少人聽過。 Allie 上星期親身體驗了三階段課程的第一階段:基礎課程。 這篇來跟大家分享我的收穫。
Thumbnail
Cryptoinsiders 消息- 香港財政司司長陳茂波於2月22日在立法會發佈財政預算案,表示將撥款五千萬港幣,在全港打造 Web3 生態圈,這也是自去年 10 月香港政府發表《有關香港虛擬資產發展的政策宣言》後,政府再度就虛擬資產及相關產業發聲。此次港府再一次加大力度,有消息稱立法會已經成立虛
Thumbnail
咱知道那種「彩蛋」被搶走的感覺,呃,有時鹽酥雞放在桌上,上個廁所回來,就發現被偷吃了,旁邊還一灘口水,算了,剩下的也不敢吃了。 咱想出另一個方式,部位較大的玩家,星期一都是盤前布局,咱就來個九點公布,光抽單改布,呱,速度一定比散戶慢。 放一顆他們不敢偷的「彩蛋」,呃,鴕鳥媽媽在,誰敢偷鴕鳥蛋。
Thumbnail
疫症前,幾乎每年都是回元朗老家吃至少一次圍村盆菜宴,是「俾面派對」,不用付禮金,不吃白不吃。最近一次已是2019年中的事,唐姪兒結婚,在元朗老家擺地道圍村盆菜宴,宴請鄉親父老。雖然只在祠堂前大空地舉行,排場與氣氛比豪華大酒樓絕不遜色,勝在全村人同心協力籌辦,由早玩到晚,盡興而歸。
Thumbnail
威伯斯雲VPN是香港電信公司的專業VPN服務,成立於2015年,為個人和企業提供VPN專線服務。威伯斯雲VPN的合作夥伴是著名的思科(Cisco)公司,思科(Cisco)公司是世界頂尖網絡設備與軟件服務商,在技術和軟件上非常強大。 威伯斯雲官方網站 訪問威伯斯雲VPN官網網站<<
我就坦白說吧,這是個空虛無力的年代。所以,我們求知若渴地讀世界各地的歷史,尤其是鄰近倍感親切的國家。於是《百年追求:臺灣民主運動的故事》、《臺灣最好的時刻》等講述臺灣故事的讀物,成為香港的暢銷書刊,迫切地想從他們的過去抽取甚麼打倒強權、爭取自由民主的竅門。 可是,一邊讀着外國的經驗,大家都會發現,我
Thumbnail
人臉辨識的最佳練兵場:中國 如果你說泛用的 AI 科技,或許這個世界上最先進的是美國,但如果把領域縮小到電腦視覺、甚至人臉辨識這個領域,搞不好中國還更勝一籌。 政府的「剛需」 有需求,才有利益促使科技進步,中國的電子支付會這麼先進,也是因為提款機密度低、手續費高、提款機爛、假鈔盛行、貨幣設計缺陷等環
Thumbnail
<p>如果台灣朋友在冬天來香港玩,看到茶餐廳門前排滿煲仔,廚師定時打開蓋子檢查狀況,蒸氣沖天,飯米與不同食材混和着香氣輕飄⋯看到此情此景,台灣朋友總建議要去吃一次煲仔飯,彷彿煲仔飯已經成為香港的冬天標誌。</p>
Thumbnail
接下來第二部分我們持續討論美國總統大選如何佈局, 以及選前一週到年底的操作策略建議 分析兩位候選人政策利多/ 利空的板塊和股票
Thumbnail
🤔為什麼團長的能力是死亡筆記本? 🤔為什麼像是死亡筆記本呢? 🤨作者巧思-讓妮翁死亡合理的幾個伏筆
Thumbnail
三階段課程,相信不少人聽過。 Allie 上星期親身體驗了三階段課程的第一階段:基礎課程。 這篇來跟大家分享我的收穫。
Thumbnail
Cryptoinsiders 消息- 香港財政司司長陳茂波於2月22日在立法會發佈財政預算案,表示將撥款五千萬港幣,在全港打造 Web3 生態圈,這也是自去年 10 月香港政府發表《有關香港虛擬資產發展的政策宣言》後,政府再度就虛擬資產及相關產業發聲。此次港府再一次加大力度,有消息稱立法會已經成立虛
Thumbnail
咱知道那種「彩蛋」被搶走的感覺,呃,有時鹽酥雞放在桌上,上個廁所回來,就發現被偷吃了,旁邊還一灘口水,算了,剩下的也不敢吃了。 咱想出另一個方式,部位較大的玩家,星期一都是盤前布局,咱就來個九點公布,光抽單改布,呱,速度一定比散戶慢。 放一顆他們不敢偷的「彩蛋」,呃,鴕鳥媽媽在,誰敢偷鴕鳥蛋。
Thumbnail
疫症前,幾乎每年都是回元朗老家吃至少一次圍村盆菜宴,是「俾面派對」,不用付禮金,不吃白不吃。最近一次已是2019年中的事,唐姪兒結婚,在元朗老家擺地道圍村盆菜宴,宴請鄉親父老。雖然只在祠堂前大空地舉行,排場與氣氛比豪華大酒樓絕不遜色,勝在全村人同心協力籌辦,由早玩到晚,盡興而歸。
Thumbnail
威伯斯雲VPN是香港電信公司的專業VPN服務,成立於2015年,為個人和企業提供VPN專線服務。威伯斯雲VPN的合作夥伴是著名的思科(Cisco)公司,思科(Cisco)公司是世界頂尖網絡設備與軟件服務商,在技術和軟件上非常強大。 威伯斯雲官方網站 訪問威伯斯雲VPN官網網站<<
我就坦白說吧,這是個空虛無力的年代。所以,我們求知若渴地讀世界各地的歷史,尤其是鄰近倍感親切的國家。於是《百年追求:臺灣民主運動的故事》、《臺灣最好的時刻》等講述臺灣故事的讀物,成為香港的暢銷書刊,迫切地想從他們的過去抽取甚麼打倒強權、爭取自由民主的竅門。 可是,一邊讀着外國的經驗,大家都會發現,我
Thumbnail
人臉辨識的最佳練兵場:中國 如果你說泛用的 AI 科技,或許這個世界上最先進的是美國,但如果把領域縮小到電腦視覺、甚至人臉辨識這個領域,搞不好中國還更勝一籌。 政府的「剛需」 有需求,才有利益促使科技進步,中國的電子支付會這麼先進,也是因為提款機密度低、手續費高、提款機爛、假鈔盛行、貨幣設計缺陷等環
Thumbnail
<p>如果台灣朋友在冬天來香港玩,看到茶餐廳門前排滿煲仔,廚師定時打開蓋子檢查狀況,蒸氣沖天,飯米與不同食材混和着香氣輕飄⋯看到此情此景,台灣朋友總建議要去吃一次煲仔飯,彷彿煲仔飯已經成為香港的冬天標誌。</p>