港府一年內爆 6 宗資料外洩 方保僑:有部門過往無跟從指引 料事故短期內陸續有來︱Yahoo

Yahoo 新聞
更新日期:
在約 8 個月內,已出現 6 宗資料外洩事件,大量市民的個人資料被盜取,甚至有市民資料在網上任人瀏覽。
在約 8 個月內,已出現 6 宗資料外洩事件,大量市民的個人資料被盜取,甚至有市民資料在網上任人瀏覽。

【Yahoo新聞報道】港府部門近年接連出現資料外洩事故,引起外界關注。翻查資料顯示,由去年 8 月數碼港遭黑客入侵,至最新消防處電腦系統有外洩風險,在約 8 個月內,已出現 6 宗資料外洩事件,大量市民的個人資料被盜取,甚至有市民資料在網上任人瀏覽。香港資訊科技商會榮譽會長方保僑指,隨著政府資訊科技總監辦公室要求各部門檢視其資訊保安措施,料短期內事故會陸續有來。他認為,不少部門過往未有依從政府發出的指引行事,例如未有禁止部門將個人資料放在第三方的雲平台,導致多宗事故發生。

香港資訊科技商會榮譽會長方保僑接受《Yahoo新聞》查詢時指,政府資訊科技總監辦公室發出指示,要求部門全面檢視現有資訊保安措施,並在一星期內回覆。方估計,短期內陸續會有部門發現有資料外洩問題。他認為,消防處及機電署亦是將資料放置第三方的雲平台上,認為不少部門過往未有跟從政府的指引行事,導致現時多宗事故發生。

創新科技及工業局局長孫東早前公布,即將成立的數字政策辦公室,強化數字政策及推進數字政府的建設。方保僑期望,辦公室能在資訊保安上向各部門提供更多支援,至少不能同一個問題重覆犯錯,「犯一次已經嫌多,犯第二次真係好離譜。」

他認為,各個部門處理其部門的資料是有好處,避免個人資料傳到其他部門,減低外洩風險,形成「防火牆」效應,但技術上不少細規模的部門,對比警察、入境處等部門,資訊科技員工不足,令資訊保安相對薄弱,認為政府需要進一步加強政府伺服器的保安。

方保僑指,一旦資料外洩,雖然市民可以容易更改電郵地址,但姓名、電話號碼、身份證號碼等更改則十分困難,不法之徒可能會用有關資料詐騙,向受害者表示掌握其個人資料,冒稱銀行、政府部門等騙取信任。他稱,除了政府部門有資料外洩事故,不少私人企業亦有相似事件,因此受影響人士眾多,市民若收到電郵、電話或短訊,報稱來自某機構或政府部門,就必須要警惕。

立即加入Yahoo新聞WhatsApp頻道

消防處今日( 6 日)公布,早前發現其中一個電腦系統內的部分個人資料有潛在外洩風險,相信是外判承辦商處理資料轉移時發生,過程中有人擅自更改有關資料的讀取權限,而構成潛在外洩風險。事件中涉及 480 名市民個資料,他們曾在去年超強颱風蘇拉吹襲期間,報案指有樹木倒塌事故,有關資料包括其姓氏及電話號碼。

同時,事件亦涉及約 5000 名屬員資料,包括姓名、電話號碼、職級與編號,及駐守崗位,當中亦涉及約 960 名屬員的不完整身份證號碼。

上月 30 日,機電署公布有 17000 名市民的個人資料外洩,私隱專員公署指有市民表示不需密碼,便可在網上伺服器平台瀏覽,包括姓名、聯絡電話、身份證號碼及住址資料。

外洩資料涉及前年「圍封強檢」收集的個人資料,惟機電署在事後兩日才用新聞稿交代事件,並就事件致歉,已報警及去信通知受影響住戶。

方保僑估計,資料保安事短期內陸續有來。 (Photo by May Tse/South China Morning Post via Getty Images)
方保僑估計,資料保安事短期內陸續有來。 (Photo by May Tse/South China Morning Post via Getty Images)

同月 19 日,公司註冊處公布,處方在例行工作期間,發現電子查冊系統出現個人資料外洩風險,需要進行緊急維修。調查顯示,承辦商設計系統時,除提供查冊相關資料,還將額外個人資料傳輸到客戶端電腦,若查冊者在查冊結果頁面,利用開發者工具,便會取得額外個人資料。

處方指,受影響涉及 11 萬人,包括姓名、完整護照號碼、完整身份證號碼、通常住址、電話號碼及電郵。處方已向有關人士解釋及致歉。

去年 10 月,一直關注資訊保安議題的旅遊寫作人「薯伯伯」說,收到香港郵政的電郵,表示有「未經授權人士」利用部門的電子服務功能,在多次嘗試後成功猜中薯伯伯的電郵地址。

事件爆出後,香港郵政在同日晚上發稿,指有「未經授權人士」利用香港郵政的電子服務功能,「多次嘗試及猜測」香港郵政帳戶持有人的登記電郵地址,並「碰巧取得」7249 個帳戶持有人用作登記的電郵地址。

香港郵政確認,事件只涉及帳戶持有人的電郵地址,個人資料如帳戶登入名稱、密碼、交易記錄則沒有外流,沒有發現相關資料被洩漏或竄改的跡象,亦沒有偵測到有關帳戶有任何可疑的活動情況。

數碼港被黑客盜取合共 400 GB的資料。
數碼港被黑客盜取合共 400 GB的資料。

去年 9 月,香港消費者委員會的電腦系統被黑客攻擊並遭勒索,有黑客取得消委會一個有管理員權限的帳戶憑證,再以虛擬私有網絡進入消委會網絡,盜取 477 人的資料,包括 289 名投訴人、 26 名資訊科技服務供應商的員工、162 名消委會的現職及部份離職員工,涉及姓名、電話號碼、住宅地址、電郵等。

私隱專員公署在上周四完成調查,批評消委會有 5 大缺失,包括無為遠端存取資料啟用多重認證功能、沒有妥善設定網絡安全軟件、沒有禁止於測試伺服器內儲存個人資料、資訊保安政策有欠全面,及保障個人資料私隱及網絡安全意識不足。

去年 8 月,數碼港發現部份電腦檔案被鎖上,之後發現遭黑客入侵,求職者、離職者、酒店職員、實習生等的資料被盜取,合共 400 GB的資料,包括身份證號碼、銀行戶口號碼、信用卡資料等,共 13632 人受影響。

事後,黑客更將資料放在「暗網」拍賣,底價約 235 萬港元,最終黑客勒索不果,將所有資料放在「暗網」公開。

一年內 6 宗資料外洩事故

2024 年 5 月 6 日

  • 消防處︱外判承辦商處理資料轉移時,過程中有人擅自更改有關資料的讀取權限。

2024 年 4 月 30 日

  • 機電署︱17000 名市民的個人資料外洩,涉及「圍封強檢」14 幢大廈居民資料,在網上任人瀏覽。

2024年 4 月 19 日

  • 公司註冊處︱查冊者在查冊結果頁面,利用開發者工具,便會取得額外個人資料,11 萬人資料受影響。

2023 年 10 月

  • 香港郵政︱有未經授權人士多次嘗試及猜測後,取得 7249 個帳戶持有人的登記電郵地址。

2023 年 9 月

  • 消委會︱電腦系統被黑客攻擊並遭勒索,477 人的資料被盜。

2023 年 8 月

  • 數碼港︱遭黑客鎖上電腦檔案,勒索不果,在暗網公開共 400 GB資料。