公司註冊處系統3漏洞 11萬董事個人資料外泄 姓名身份證任睇

撰文:江麗盈
出版:更新:

個人資料外泄風險又再出現!公司註冊處今日晚上(3日)公布,就早前在發現「電子服務網站」內的電子查冊系統出現個人資料外泄風險,已完成緊急維修,惟在調查中,處方發現如果查冊者利用開發者工具(Web developer tool),又或透過編寫程式(robotic search)查閱資料,也會取得額外個人資料,而以電子方式提交持牌放債人委任第三方的通知書時,系統同樣出現個人資料外泄風險。

公司註冊處指,受影響的當事人約為110,000人,涉及的個人資料包括姓名、完整護照號碼、完整身份證號碼、通常住址、電話號碼及電郵。由於註冊處記錄公司董事資料,料主要受響為公司老闆及董事。處方稱已開始分批通知相關資料當事人,向他們解釋有關情況和致歉,並正徵詢個人資料私隱專員公署和政府資訊科技總監辦公室的意見,全面檢視事件、及加強保障個人資料的措施。

私隱專員公署表示,考慮到受影響的人數眾多,已即時就事件展開調查。

公司註冊處今日公布完成「電子服務網站」外泄個人資風險調查,發現在三種情況下導致11萬人資料外泄。(資料圖片)

註冊處上月中發現外泄風險 稱未收到個人資料外泄報告

政府公司註冊處上月19日公布,在例行工作中發現「電子服務網站」內的電子查冊系統出現個人資料外泄風險,要進行緊急維修,暫停電子查冊服務。公司註冊處當時指,未收到個人資料外泄報告,並通報保安局、政府資訊科技總監辦公室及個人資料私隱專員公署。

查冊者用用開發者工具或透過編寫程式查閱資料 可得額外資料

事隔約半個月,公司註冊處再次在系統中發現個人資料外泄風險。處方晚上發稿,指早前的緊急維修及調查工作已完成。相關調查結果顯示,承辦商在設計系統時,除了提供查冊相關資料,還將額外個人資料傳輸到客戶端電腦。雖然這些額外資料並不會顯示在查冊結果頁面上,但在三種情況下,卻會外泄:

一.如果查冊者在查冊結果頁面上,利用開發者工具(Web developer tool),便會取得額外的個人資料;

二.如查冊者透過編寫程式(robotic search)查閱資料,也會取得部分額外的個人資料;

三.以電子方式提交持牌放債人委任第三方的通知書時,也曾出現同樣情況。

政府公司註冊處4月19日公布,由於在例行工作中發現「電子服務網站」內的電子查冊系統出現個人資料外泄風險,暫停服務以便進行緊急維修。(網站截圖)

註冊處分批通知相關資料當事人及致歉

公司註冊處指,調查結果顯示,受影響的當事人約為11萬人,涉及的個人資料包括姓名、完整護照號碼、完整身份證號碼、通常住址、電話號碼及電郵,已開始分批通知相關資料當事人,向他們解釋有關情況和致歉。

公司註冊處稱十分關注個人資料外泄的風險,正徵詢個人資料私隱專員公署和政府資訊科技總監辦公室的意見,全面檢視事件及進一步加強保障個人資料的措施,以防止同類事件發生。

私隱專公署籲受影響人士提高警惕

私隱專公署已即時就事件展開調查,並已建議公司註冊處盡快通知受影響人士。公署呼籲受影響人士若懷疑個人資料被外泄,可向相關部門或公署作出查詢(電話:2827 2827、電郵:communications@pcpd.org.hk)或投訴(電話:2827 2827、電郵:complaints@pcpd.org.hk)。截至今日並未有接獲與事件相關的查詢或投訴。

私隱專員公署呼籲受影響人士提高警惕,慎防個人資料被盜用,並應採取以下措施,保障個人資料私隱:

•考慮更改網上帳戶密碼,並啟用多重認證功能(如有的話);

•留意個人電郵或帳戶有沒有不尋常的登入記錄;

•審視銀行月結單,以確定是否有任何未經授權的活動;

•收到不明來歷或可疑的來電、短訊或電郵時要提高警覺,切勿隨意打開附件或披露個人資料;及

•對網絡釣魚及其他詐騙行為提高警覺。