消委會資料外洩事故,會方回應個人資料私隱專員調查報告,指已即時糾正錯誤並委託專家檢查,又指目前仍未能確定黑客如何獲得帳戶憑證。
個人資料私隱專員公署。 資料圖片(圖片來源:星島日報)
消委會回應說,對於公署指出的不足之處和提出的建議深表重視,在事故發生後已積極採取即時行動糾正問題,包括為遠端存取資料啟用多重要素認證(MFA)功能、全面檢視網絡安全方案的功能及作出妥善設定,以及進一步加強內部培訓以提升員工對網絡安全的意識和行為。消委會亦正完善其資訊科技政策和工作指引,同時正委託威脅偵測與應變服務供應商,以加強抵禦網絡保安威脅的能力。
消委會又指,已委託鑑證專家檢查系統,結果顯示黑客非法挪用具管理員權限的帳戶憑證,並通過安全資料傳輸層虛擬私人網路入侵消委會電腦系統,儘管鑑證專家及消委會通過不同技術及多角度進行調查,但未能確定黑客獲得憑證的原因,強調有關帳戶一向採用複雜密碼、未曾受到暴力攻擊,帳戶憑證亦未有在暗網出現,受影響的資料少於1.5GB。
消委會說,受影響的個人資料非常有限,主要涉及289名曾經向消委會遞交投訴的人士,亦包括現任和前職員的資料等。調查未能確定資料是否被下載,但根據外聘的暗網監察服務商資料,至目前為止未有發現任何受影響資料被公開。
消委會
消委會強調,務必在安全至上的原則下,持續提升資訊系統保安系統及數據安全、採取與時並進的保安技術及方案、提升個人資料管理的工作、加強內部培訓、資料管理政策及指引,並定期進行測試和檢討以提升網絡系統的管治水平。
消委會檢視本港使用量較多的5款垃圾電話攔截程式,發現兩款在取得存取權限後,會將用戶通訊錄中所有聯絡人的資料上載資料庫中,供其他用戶搜索,個人資料可能被人一覽無遺。
消委會檢視本港使用量較多的5款垃圾電話攔截程式。(消委會)
消委會表示,其中一款程式在存取用戶通訊錄後,會自動將所有聯絡人的資料上載和整合到商戶的資料庫內,供其他用戶「反向搜索」,只需輸入電話號碼,即可追溯到號碼持有人的名字及查閱其個人資料。如果有用戶在通訊錄中儲存了親友的電話號碼,而在使用該程式時同意被讀取通訊錄,即使這些親友本身從未下載或批准該程式使用其個人資料,資料亦會被取用和上載。另一款程式同樣會以類似方式取用及上載用戶的通訊錄,但只限於在程式官方網站下載檔案(如APK檔)及安裝程式,並啟用「強化搜尋」功能才會出現相關情況。
消委會檢視本港使用量較多的5款垃圾電話攔截程式。(消委會)
另外,一款程式在個人資料保存期限屆滿後,或仍將原本理應已銷毀的用戶資料存放於備份系統中。
消委會又發現,有兩款程式規定用戶必須註冊帳戶方能使用,另有1款的Android版本亦有同樣要求。用戶一般可選擇以電郵地址、電話號碼或登入Facebook或Google等第三方帳戶進行註冊。若選擇透過Facebook註冊,當中一款程式會索取多達8項個人資料,包括姓名、個人頭像、電郵地址、出生日期、相片、影片、朋友名單以及生活時報連結。
消委會建議消費者,在下載和使用攔截程式前,務必仔細閱讀服務條款及私隱政策,並應留意程式所索取的權限是否合理,小心選用攔截程式。
消委會檢視本港使用量較多的5款垃圾電話攔截程式。(消委會)
