Yahoo奇摩新聞 香港郵政洩用戶電郵 涉7249個帳戶 疑有人「多次嘗試及猜測」「碰巧取得」資料 私隱公署展調查
【9 月 20 日晚上 10 時更新政府發稿】
【Yahoo 新聞報道】再有政府部門爆出個人資料洩漏事故。一直關注資訊保安議題的旅遊寫作人「薯伯伯」說,前日(18 日)收到香港郵政的電郵,表示有「未經授權人士」利用部門的電子服務功能,在多次嘗試後成功猜中薯伯伯的電郵地址。不過薯伯伯質疑,政府只發送電郵通知用戶,但一直未有透過新聞公布事件。
至今(20 日)晚上 9 時 40 分,政府發稿,確認香港郵政發現一宗資安事故,涉及「未經授權人士」利用香港郵政的電子服務功能,「多次嘗試及猜測」香港郵政帳戶持有人的登記電郵地址,並「碰巧取得」7 249 個帳戶持有人用作登記的電郵地址。
香港郵政確認,事件只涉及帳戶持有人的電郵地址,個人資料如帳戶登入名稱、密碼、交易記錄則沒有外流,沒有發現相關資料被洩漏或竄改的跡象,亦沒有偵測到有關帳戶有任何可疑的活動情況。
香港郵政指,於 10 月 18 日發現事件,已於當日通知受影響的帳戶持有人,並提醒他們注意可疑電郵或不知名的通訊,同時向警方報案,及向私隱公署尋求意見,於今日向私隱公署提交報告,亦正尋求政府資訊科技總監辦公室的意見,以進一步加強保安措施。
個人資料私隱專員公署回覆《Yahoo 新聞》,指今日(20 日)收到相關的資料外洩事故通報,公署已根據既定程序就事件展開循規審查,亦已建議有關機構應盡快通知受影響人士。
《Yahoo 新聞》亦已經向香港郵政查詢,正待回覆。
薯伯伯說,今次除了香港郵政發送的電郵外,未見到部門透過傳媒領域和新聞公布披露今次事件,他最終要致電政府的 1823 熱線,從接線生口中確認事件屬實,而他亦因為等了兩日都未見政府公開交代,於是自行「爆料」。薯伯伯批評部門未交代「事件洩漏經過、責任所在、系統保障不足、如何改善」,並指事件反映了部門事前未有採取應有措施,以避免有人透過「暴力破解」方式取得用戶個人資料。
薯伯伯說,香港郵政在 18 日發送的電郵內容提到,有「未經授權人士利用我們的電子服務功能,透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址,並最終碰巧取得了你用作與香港郵政帳戶登記的電郵地址」。他認同部門今次有主動發電郵通知受影響用戶,但認為忽略了公眾知情權是一項「重要遺漏」,他甚至因為找不到相關新聞,而曾經懷疑部門的來郵「本身是否詐騙?」
至於今次的資訊漏洞,薯伯伯說是屬於「憑證填充攻擊」(credential stuffing)及「暴力破解攻擊」(brute-force attack),形容是攻擊「極為低級」,十分容易防範,例如在網站加入限制嘗試次數的鎖定功能,以及加入「Captcha」,即要求用戶選擇相關圖片來證明是由人類點擊的驗證手段,足以有效截擊。
薯伯伯認為,相信大多數上過網的人都「早就體驗過鎖定或 Captcha 功能」,這種做法是「家常便飯」,用戶不會感陌生,「香港郵政的網頁保安措施有多少年沒有升級,怎麼會連『憑證填充攻擊』及『暴力破解攻擊』這種低端攻擊都阻截不了?進一步問,香港郵政是內部構建還是外判找承辦商,有否與其協議定時更新最基本的資安措施,與時並進?」
