公司註冊處泄11萬人電話住址身分證 發現風險兩周後公布 處方致歉 私隱署查
【明報專訊】公司註冊處上月19日指其電子服務網站有個人資料外泄風險。事隔兩周,該處昨晚發稿稱已完成調查,發現約11萬人受影響,涉及個人資料包括姓名、完整護照號碼、完整身分證號碼、通常住址、電話號碼及電郵,已分批通知受影響者解釋和致歉。私隱專員公署稱已即時展開調查。公司註冊處未有交代何時發現網站有資料外泄風險,也無交代何時發現11萬人受影響。立法會議員江玉歡批評事件屬低級錯誤,相隔兩周公布詳情「真係太耐」。
另涵護照號碼電郵 稱已維修
私隱專員公署表示,事件受影響人數眾多,公署已即時展開調查,並已建議有關部門盡快通知受影響者;截至昨晚10時,公署沒接獲相關查詢或投訴。政府資訊科技總監辦公室稱高度關注事件,已建議公司註冊處盡快檢查及修補漏洞、進一步審視系統的整體保安設計。
「承辦商設計系統時輸額外個人資料」
公司註冊處昨晚表示,電子服務網站已完成緊急維修,封堵資料進一步外泄的風險。調查結果顯示,承辦商設計系統時,除了提供查冊相關資料,還將額外個人資料傳輸到客戶端電腦;這些額外資料不會顯示在查冊結果頁面,但倘查冊者在該頁面利用開發者工具(Web developer tool,如使用Google Chrome瀏覽器,可按F12進入工具介面),便會取得額外的個人資料;如查冊者透過編寫程式(robotic search)查閱資料,也會取得部分額外的個人資料。公司註冊處在調查中亦發現,以電子方式提交持牌放債人委任第三方的通知書時,也曾出現同樣情G。
查冊者用「開發者工具」可閱資料
公司註冊處強調十分關注個人資料外泄風險,正徵詢私隱專員公署和資科辦意見,全面檢視事件及進一步加強個人資料保障措施,以防同類事件發生。
根據私隱專員公署網站,法例並無規定資料使用者就外泄事故通知私隱專員公署,公署建議通報。根據公署《資料外泄事故的處理及通報指引》,一般來說,知悉事故後不論內部調查進度如何,都應在切實可行的情G下盡快通報。
議員斥政府機構接連出事
騙案多「兩星期樓都賣埋」
江玉歡認為今次事件屬低級錯誤,政府應盡快公布涉事承辦商有無負責其他相關系統、有無其他部門有資料外泄風險、政府花費多少公帑購買涉事系統等,以增加透明度及釋除公撩羹{。江認為,處方事隔兩周才公布11萬人受影響屬太遲,今次涉及重要個人資料,處方應加快調查,加上現時詐騙案多,「兩星期樓都賣埋啦」。
立法會議員、資訊科技及廣播事務委員會主席葛珮帆認為情G不能接受,她指近年政府機構接續出現資料外泄事件,且愈來愈嚴重,顯示政府部門網絡保安出問題,政府要嚴肅正視網絡及資訊安全問題,檢視各部門的網絡安全措施,就數據安全做內部演練,加強網絡安全意識和應對能力。
公眾以往透過查冊可獲得公司董事的完整身分證號碼及通常住址。公司註冊處2021年起分階段收緊查冊安排,當年8月起公司可在其登記冊以董事的通訊地址代替通常住址;2022年10月起,新提交文件中,董事的身分證號碼最後4位會以「*」號取代;去年12月起,資料當事人可向公司註冊處申請,不提供在第二階段開始前已向該處登記的文件所載的受保護資料。
■明報報料熱線﹕inews@mingpao.com / 9181 4676
港研儀器蒐月壤 「嫦六」升空 擬月背採樣創先河
【明報專訊】由長征五號運載火箭搭載的中國探月工程「嫦娥六號」探測器,昨傍晚5時27分在中國文昌航天發射場發射升空,飛赴38萬公里外的月球,正... 詳情
