報告批評,國泰未能識辨某個廣為人知及可被加以利用的保安漏洞,亦未能識辨利用該漏洞的行為,同時沒有採取合理地切實可行的步驟在建立伺服器時進行適當的部署;國泰亦只為伺服器每年進行一次漏洞掃描,就有效保障國泰資訊系統以面對不斷變化的數碼威脅的做法流於表面及過份鬆懈。
私隱專員根據《私隱條例》權力,向國泰送達執行通知,包括聘請獨立的資料保安專家徹底檢修載有個人資料的系統;為所有會存取載有個人資料的資訊系統的遙距使用者實施有效的多重身份認證,並承諾定期檢視遙距存取的權限;定期在伺服器及應用程式層面進行有效的漏洞掃描等等。
公署亦於報告中指出,現時法例未有強制要求機構就個人資料外洩通報。政制及內地事務局表示,當局會在研究修訂《私隱條例》時,考慮設立強制性個人資料外洩通報機制。
國泰表示,正與顧問審慎考慮該報告,並將於考慮之後決定是否恰當就該報告作出任何詳細的公開回應。國泰再次就事件表示遺憾及誠摯道歉,並稱已採取措施,提升其資料治理、網絡安全及存取控制方面的資訊科技保安,教育及員工意識,以及事件應對敏捷性。在資訊科技基礎設施及保安方面,於過往三年已投放重大開支,並將繼續在這些方面投資。