消費者委員會今(22日)召開記招交代,電腦系統在周二(19 日)被黑客入侵 7 小時,但相隔 16 小時、到周三早上 10 時後才發現事故;包括 8000 名《選擇月刊》訂戶信用卡資料、投訴者、員工及家屬、求職者及合作夥伴等個人資料或已外洩。
消委會指周三發現八成電腦系統受破壞、部分檔案無法開啟,黑客要求明天( 23 日)晚上 11 時 21 分前,繳交 50 萬美元贖金、逾時增至 70 萬美元。主席陳錦榮強調不會繳付贖金,暫未知外洩資料為何,承認或要等「撕票」才可知悉具體內容。有資訊科技界人士認為消委會的保安系統反應慢,「簡單講就是有返工有監察,冇返工就冇。」
個人資料私隱專員公署昨確認,收到消委會資料外洩事故通報,消委會今(22日)召開記招交代。
四類人士資料或外洩 消委會:盡可能通知「一個得一個」
消委會今在記招交代,在被入侵的 7 個多小時內,系統的數據流量較正常多出 65 GB,惟未確定有關數據是否涉及個人資料、仍調查其覆蓋範圍。消委會評估,四類人具或涉資料外洩:一是員工、前員工和家屬、求職者等個人資料,包括身份證號碼、住址、履歷等內容;二是《選擇月刊》訂戶,包括 8000 名《選擇月刊》客戶信用卡資料;三是消委會投訴人士的資料;四是消委會合作夥伴,有關資料包括公司地址、電話、電郵、或部分手機號碼。
消委會總幹事黃鳳嫺說,求職者相關資料會保留兩年,員工的資料會保留 7 年。她說,已盡可能通知「一個得一個」。黃鳳嫺表示已向員工交代事件,至於其他人士如求職者、《選擇》訂戶等,由於相關伺服器仍未能使用,消委會職員現正按實體文件,嘗試逐一通知相關人士。至於合作伙伴,她說會透過傳媒、社交平台等通知,因合作伙伴只有平日聯絡電話,但當相關伺服器可使用,會即時以所得聯絡方法通知對方。
受事件影響消委會近 8 成電腦系統受破壞,當中包括電郵、儲存個人資料的系統等,現時會方連發出電郵都有困難。黃鳳嫺說已知有多少伺服器受影響,但不便透露數字;陳錦榮則說,事件最初影響熱線、價格比較工具的更新系統,現時有關系統已復常,不過有關訂戶資料的伺服器仍「未上到」,「現在的問題是連伺服器都未上返,所以資料都未有。」
所涉資料數字不公開免恐慌 「一定不會繳付贖金」
陳錦榮稱,是次事件所涉及的整體個人資料數字暫不便公開,「我們不想貿貿然說,我們全部的合作夥伴、投訴人所有人都可能受影響,因這樣會造成不必要的恐慌,也沒有事實根據,因此我們是盡量將可能受影響的人士的種類說出來,但數字上真的沒有一個基礎。」至於事件涉及哪個黑客集團,陳錦榮說完全不知道黑客是甚麼組織、來自哪裏,「知就不會發生這件事。」他說事件已交由警方調查,故不便透露,「我們交了甚麼資料給警方,我們都有責任要保密,透露到調查方向對所有持份者都不是好事。」
消委會指,相信涉及投訴人的個人資料大部分不受影響。消委會署理副總幹事何應富表示,大部分投訴人的資料儲存在另一個獨立的電腦系統,投訴處理系統現時運作正常,但不排除會有跟投訴相關的資料外洩,「因為投訴處理都涉及其他系統,會用 email 的系統去做一些溝通;在處理投訴時,亦有部分資料會在其他伺服器中儲存,方便處理,初步檢視是有部分伺服器受感染。」
陳錦榮說,消委會已掌握黑客入侵的渠道,「絕對不是有同事點擊釣魚網站,是一個網絡安全的問題,不是個別員工引發事件。」黃鳳嫺表示,已向不同鑑證專家查詢,能否追查資訊流向,但專家均表示難以追查,「由於我們一定不會繳付贖金,所以可能真的要等到『撕票』,我們才會真正知道究竟有哪些資料外洩。」
消委會指,8000名《選擇月刊》客戶信用卡資料或外洩,正按實體文件逐一嘗試通知相關人士。
入侵 16 小時後才發現 資科界批反應慢
不過,這場事故是否可以避免呢?黃鳳嫺表示,消委會在周三(20日)上午發現部分電腦系統無法使用,追查後才發現早在周二(19 日)傍晚 6 時許已有黑客入侵,即是由黑客入侵直至消委會發現的時間,相差接近 16 小時。
香港互聯網協會開放數據小組召集人、數據科學家黃浩華認為,中間相隔的時間長達16 小時,「真的很多事情可以發生,除了黑客可攻擊系統外,保安系統亦可以多做很多保護措施」。他認為消委會系統反應慢,又以 Instagram 及 Telegram 等通訊軟件作例子,稱這些軟件一旦偵測到用戶有異常情況、會馬上電郵通知帳戶持有人。
電腦安全研究員賴灼東指出,消委會沒有進行持續性的安全監測,「簡單講就是有返工有監察,冇返工就冇,佢(消委會)唔係好嚴謹嘅機構,security monitoring 都冇做。」賴稱,若有持續進行網絡安全監察,一發現有異常數據流量或遠端登入等,已會收到通知,他批評相關單位「究竟識唔識做呢啲去減低風險?」對於香港接二連三發生同類事件,他形容這有如一個「循環」,因為香港沒有資訊安全保護法,企業外洩資料沒有罰則,以致他們不願投放資源保障系統安全。
資科辦:政府保安措施足夠 24小時監測系統不包公營機構
消委會在事隔一日後報警,對於為何一日後才報警,陳錦榮指要先完成基本調查工作才可報警,「如果沒做到基本的調查,報啲乜嘢呢?你自己都未清楚,有啲乜嘢可以報呢?我想問呢,頭一個鐘頭,報啲乜嘢?你自己都唔知個系統有咩問題。」他說在過去 48 小時,已採取適當行動。
消委會資料外洩,已是近期第二宗同類事件。數碼港早在 8 月中發現電腦系統被入侵,多達 400GB 數據被盜取;及至本月中,有關的數據「已外洩(leaked)」,員工薪金、身份證、戶口等資料外洩,當中包括 5 名高層個人資料。
政府、個人資料私隱專員公署在事件有何角色?根據政府資訊科技總監辦公室今年 6 月更新的《資訊保安事故處理實務指引》,若政府部門確認有事故發生,有關資訊保安事故應變小組組長,應在確認事故後的 60 分鐘內,向政府資訊保安事故應變辦事處常設辦公室報告事故。不過,政府資訊科技總監黃志光說, 指引主要針對政府部門保安系統,而政府的 24 小時監測系統,服務對象為政府部門,不包括公營機構。
政府資訊科技總監黃志光指高度關注事故,政府保安措施足夠,近日有提醒各部門遵從相關規例措施。
私隱專員公署鍾麗玲表示,消委會昨日才通報、今日召開記招,公署需進一步資料方可判斷,消委會是否有違規情況。至於數碼港資料外洩事故,調查仍在較初步階段,要視乎情況才決定會否有懲處。數碼港在 8 月 18 日通報公署外洩事故,直至 9 月 5 日、即相隔 19 日才因網絡安全網站公布而公開事件;鍾麗玲重申,機構若發現資料外洩,應「盡快」通知受影響人士,「如留意到向我們通報了,但又沒有向受影響人士通報,我們會提醒他們通報」。
鍾麗玲透露,截至今午 5 時,就數碼港資料外洩事故,公署接獲 24 宗投訴及 52 宗查詢;就消委會的情況,公署已接獲 1 宗投訴及 8 宗查詢。同月有兩宗公營機構被黑客入侵事故,會否修改《個人資料(私隱)條例》?鍾麗玲說一直與政府審視《私隱條例》,公署的修例建議已包括強制通報個人資料外洩事故、加強罰則等。
