本港再出現大型機構資料外洩事件。消委會今(22日)早召開記者會交代,指周三早上發現電腦系統遭黑客以勒索軟件入侵,近八成系統被破壞。對方聲稱已盜取某些內部資料。消委會檢查發現在被入侵期間系統數據流量較正常多65GB,雖未能確定資料洩漏的範圍,但估計可能涉及員工或前員工資料、《選擇》月刊訂戶資料、消費投訴人資料及合作夥伴資料。黑客又要求消委會繳交50萬至70萬美元贖金,消委會表明不會繳交贖金。
消委會主席陳錦榮指周三早上發現事件,翻查紀錄,黑客在星期二傍晚開始以勒索軟件入侵電腦系統,導致近八成系統被破壞,熱線服務及網上價格工具受到影響。消委會總幹事黃鳳嫺則透露,員工翌日上班時發現未能登入系統,始發現系統被入侵。消委會表示已採取行動加強系統安全,防止黑客再次入侵。現時熱線服務已恢復正常,消委會昨早已報警及向個人資料私隱專員公署備案。
消委會交代,根據勒索軟件的概述,對方稱已從消委會電腦系統盜取某些內部資料,包括員工及客戶數據,以及其他內部紀錄。消委會已委託鑑證專家進行調查,確認在被入侵的7個多小時內,系統的數據流量較正常多出65GB。陳錦榮表示,收到黑客的勒索條件,對方要求9月23日晚上11時20分之前,收到50萬美元的贖金,若逾期,贖金要求則上升到70萬元美金。
黃鳳嫺則表明不會交贖金,又指已與多位鑑證專家商討,要確定具體外洩資料非常困難,「可能要等到他(黑客)撕票時,我們才真真正正知道究竟哪些資料洩漏出去」。她又向公眾表示致歉,對今次事件構成的不便希望公眾諒解。消委會強調,若有最新消息,會在不同渠道包括網站和社交媒體即時公布。
相信投訴人資料外洩不多
消委會指,根據風險評估,洩漏的資料可能涵蓋四類人士,包括員工、前員工及其家屬,以及空缺申請人的資料,如身份證號碼、住址、出生日期和履歷;《選擇》月刊訂戶資料,當中包括約8,000名曾向消委會提供信用卡資料的訂戶;合作夥伴的資料,包括公司地址、電話、電郵,部分或存有手機號碼;消費投訴人士的資料,不過消委會指投訴處理系統是獨立運作,經檢查後確定運作大致正常。
消委會署理副總幹事解釋,經過資訊科技部、鑑證專家和警方初步調查,相信投訴處理系統仍正常運作,但不排除有與投訴相關的資料外洩,因投訴處理系統與其他系統有接觸,例如電郵系統;投訴相關的材料亦有可能被放在其他伺服器存儲,以方便人員跟進,而事件中相關伺服器有被病毒感染。不過他相信即使有投訴人資料外洩,數量也不會太多,因為大部分資料都存放在獨立的投訴處理系統。
黃鳳嫺指,消委會正全力重建系統,其後會調查哪些數據外洩。陳錦榮表示,未來會向可能受影響人士接觸,提醒他們要小心處理近日收到的電訊和訊息。黃鳳嫺補充指,消委會已內部向員工交代事件,至於求職人士,各部門亦正查閱從備份資料,「找到一個是一個,去儘量通知可能懷疑收影響人士」,《選擇》月刊用戶方面亦是同樣情況。
黃鳳嫺稱一直有投放資源在網絡安全 惟黑客攻擊防不勝防
黃鳳嫺表示,消委會過去長期有投放資源提升網絡安全,並有購買市面上的「網絡安全方案」。消委會亦定期進行風險評估和審計,包括密碼強調測試、模擬攻擊的滲透測試、主要伺服器漏洞掃描、安全意識培訓等。她強調員工不可自行安裝軟件,必須透過資訊科技部才能安裝。
黃鳳嫺說,即使花費很多資源提升網絡安全,但很難說有一個系統能完全「防彈」不被入侵,「若果黑客蓄意不斷攻擊我們,若真的被他們發現有一個漏洞或有地方被滲入,我們都是防不勝防」。她又向公眾表示致歉,對今次事件構成的不便希望公眾諒解。
消委會呼籲上述可能受影響的人士重設及定期更改網上帳戶密碼,並啟用多重認證功能;如曾向消委會提供信用卡資料,應通知信用卡公司該卡或已被盜用及更換信用卡;定期審視銀行月結單及銀行發出通知,以確定是否有任何可疑活動;留意個人電郵或帳戶有沒有不尋常的登入及收發信息記錄;收到不明來歷或可疑的來電、短訊或電郵時要提高警覺;如收到聲稱代表消委會的來電、短訊或電郵,應核實來源,如有疑問, 可致電消委會官方熱線(2929 2222)查詢。@
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
