消委會遭黑客盜資料勒索
投訴人月刊訂戶個資外洩 私隱署展循規審查
繼數碼港被黑客入侵勒索,最終「撕票」導致多達400GB內部資料外洩後,消費者委員會的電腦系統亦遭黑客入侵,投訴人及訂購《選擇》月刊客戶的個人資料外洩,據悉黑客勒索六位數贖金。有消息指消委會早前曾委託專業會計師樓為有關系統進行安全測試,未料仍遭黑客攻擊。有專家相信有可能是職員被誘騙開啟受感染勒索軟件檔案,或者安全測試做得未夠徹底。立法會科技創新界議員邱達根認為政府有必要訂立數據保護法,規管機構處理數據的手續。
消委會前日(20日)於其網頁公布,該會電腦系統當日發生故障,投訴及諮詢熱線、訂閱部、網上價格一覽通以及油價資訊通的服務一度受到影響 。警方昨(21日)接獲該機構職員報案,指懷疑電腦系統被入侵。案件列作「有犯罪或不誠實意圖而取用電腦」,交由網絡安全及科技罪案調查科跟進,暫未有人被捕。
據悉,消委會被人勒索六位數字贖金。該會昨日傍晚曾就事件召開緊急會議,確認有資料外洩,內部伺服器及網站一度故障,目前仍在評估受影響範圍。今早將舉行記者會交代細節。消委會對於引起的不便,希望公眾體諒。
曾做專業安全測試仍淪「獵物」
個人資料私隱專員公署回應傳媒查詢時表示,昨日收到消委會的資料外洩事故通報,公署已根據既定程序就事件展開循規審查,亦已建議有關機構盡快通知受影響人士。考慮到事故可能涉及個人資料外洩,私隱署呼籲可能受影響人士提高警惕,慎防個人資料被盜用。
據了解,消委會早前曾委託專業人士進行電腦系統安全測試,但仍成為黑客「獵物」。信息安全專家龐博文對本報表示,估計有兩大可能,一是職員被誘騙開啟受感染勒索軟件檔案,二是有關測試未夠深入或全面,以致存在漏洞也未有及時發現。
議員促訂數據保護法
龐博文指出,部分企業或機構雖有定期做安全測試,但往往只做網絡系統和伺服器,卻忽略員工的座枱電腦或手提電腦,又或是只測試有線網絡,卻沒有做無線網絡的測試,導致出現漏洞也沒有發現。他建議企業做好全方位安全測試,並加強員工的網絡安全意識,不要隨意下載或點擊可疑網站,才可建立完美防線抵禦黑客入侵。
上月中數碼港亦曾遭勒索,有400GB數據被盜取及外洩,涉及員工及求職者資料。邱達根指,不法分子轉趨專業化,有外國的犯罪集團利用釣魚連結勒索,大型機構都會成為目標,即使機構的系統裝上防毒或安全軟件,都不能掉以輕心。他認為政府有需要盡快訂立數據保護法,規管機構處理數據的手續,企業或機構並要為一旦未盡自身責任做足電腦安全措施而導致資料外洩,處以罰則。
