的士App存取多種權限相片通話紀錄隨時外洩

社會事

的士App存取多種權限相片通話紀錄隨時外洩

2018年03月15日 12:35 最後更新：13:36

下載應用程式一刻，或已經埋下資料外洩的危機！

使用網約車要注意！消委會提醒用戶下載應用程式一刻，同時亦授權應用程式讀取手機內的資料。Google Play在容許用戶下載Android應用程式前，會詳細列出用戶需要向有關程式提供的存取權，App Store則沒有向下載iOS應用程式的用戶作出相關提示。

消委會今年三月初於Google Play查閱下載各網約的士應用程式時，用戶必須向應用程式開放使用手機的權限，而當時「快的打車」已於Google Play下架並由最新版本「DiDi」取代。調查顯示，用戶下載「DiDi」時需要開放的權限最多，而「飛的」需要的手機使用權則相對較少。

所有應用程式都會要求讀取用戶以GPS和網絡為基準的位置。而多個應用程式都要求獲得使用用戶手機的多種權限，包括拍攝相片及影片、相片或媒體存取權、讀取、修改或刪除SD記憶卡的內容、在不通知情況下下載檔案、讀取通話紀錄及聯絡人資料、讀取Google設定、使用麥克風及控制閃光燈的權限，提供網約的士服務，是否需要取得上述權限，大有商榷餘地。

消委會總幹事黃鳳嫺表示，的士應用程式要求取得用戶不必要資料的情況非常不理想，最嚴重一個應用程序，包括存讀取及修改記憶卡內容、讀取用戶手機的相機使用權限、聯絡人資料等與召車服務無相關個人資料，但其實亦有應用程序只需用戶提供地點和電話，已將資料交予私隱專員公署跟進。

消委會提醒，用戶如不想被應用程式過度收集個人資料，下載前應仔細查閱應用程式的存取權資料，明白和同意才下載。

往下看更多文章

回應私隱專員報告消委會：已即時糾正委託專家檢查

2024年05月02日 12:18 最後更新：12:40

消委會資料外洩事故，會方回應個人資料私隱專員調查報告，指已即時糾正錯誤並委託專家檢查，又指目前仍未能確定黑客如何獲得帳戶憑證。

消委會回應說，對於公署指出的不足之處和提出的建議深表重視，在事故發生後已積極採取即時行動糾正問題，包括為遠端存取資料啟用多重要素認證（MFA）功能、全面檢視網絡安全方案的功能及作出妥善設定，以及進一步加強內部培訓以提升員工對網絡安全的意識和行為。消委會亦正完善其資訊科技政策和工作指引，同時正委託威脅偵測與應變服務供應商，以加強抵禦網絡保安威脅的能力。

消委會又指，已委託鑑證專家檢查系統，結果顯示黑客非法挪用具管理員權限的帳戶憑證，並通過安全資料傳輸層虛擬私人網路入侵消委會電腦系統，儘管鑑證專家及消委會通過不同技術及多角度進行調查，但未能確定黑客獲得憑證的原因，強調有關帳戶一向採用複雜密碼、未曾受到暴力攻擊，帳戶憑證亦未有在暗網出現，受影響的資料少於1.5GB。

消委會說，受影響的個人資料非常有限，主要涉及289名曾經向消委會遞交投訴的人士，亦包括現任和前職員的資料等。調查未能確定資料是否被下載，但根據外聘的暗網監察服務商資料，至目前為止未有發現任何受影響資料被公開。