【縱橫遊洩私隱】黑客一個加密功能玩殘縱橫遊 專家:針對性攻擊
旅行社縱橫遊周一(6日)遭黑客入侵,系統內20萬名客戶資料外洩,當中一成、即約2萬人的資料更包含信用卡資料,旅行社高層在記者會上鞠躬道歉。黑客以什麼手法控制縱橫遊電腦系統,據了解,黑客是以Windows內建的位元鎖(BitLocker)加密功能,「騎劫」縱橫遊整個系統,令公司惟有斷開系統與網絡的連接,連網站也主面癱瘓,門市並只可提供有限度服務,希望於本月內完成搶修及升級。事件更揭露,原來縱橫遊保存客戶個人資料,長達三年。
縱橫遊行政總裁兼執行董事袁振寧於記者會上,只透露了黑客不是以WannaCry或ransomware入侵公司電腦系統,但不肯進一步透露詳情,只表示對方要求支持七位數字贖金,要以比特幣過數,公司董事局考慮了半小時後,決定不會付贖金,因「黑客係唔可信,唔應鼓吹網上罪行。」即使最終未能解鎖取會資料,也不會付贖金。據了解,黑客入侵了縱橫遊的電腦系統,取得客戶資料後,再利用了window的bitlocker 加密功能,將資料鎖死,再向縱橫遊勒索。香港資訊科技商會榮譽會長方保僑表示估計,事件有可能是公司未有對window系統定時進行安全性更新,以至黑客有機可乘。不過,他也補充,現階段資料未足,未能作出定論。
方保僑:黑客或熟悉公司架構
香港資訊科技商會榮譽會長方保僑表示,縱橫遊遭黑客入侵電腦系統後,公司行政總裁收到勒索電郵,並要求高達7位數字的勒索金額,情況與一般類似WannaCry等軟件入侵的手法不同:「首先WannaCry一般都是勒索幾百元美金,亦不會發電郵,一般就直接在系統顯示勒索訊息。今次縱橫遊被勒索的金額大,對方亦知道公司負責人的電郵,有可能是熟悉公司網絡、甚至是公司架構的人所為。」
莫乃光:建議客戶更改信用卡號碼「自保」
不過,立法會資訊科技界議員莫乃光認為,黑客視乎取得的資料價值才開價不足為奇,至於何以取得公司高層的電郵,則視乎有關聯絡資料本身的保密程度。至於黑客為何要求以比特幣支付,方解釋有關交易是無法追蹤,不能夠追查到收款人的身分行蹤,因而成為非法交易的貨幣。方亦擔心黑客取得有關個人資料後,已轉售予其他不法分子,建議市民cut卡(取消信用卡)自保。
莫乃光指,信用卡交易始終存在風險,市民應多加留神,留意信用卡紀錄,而不少發卡銀行近年於信用卡網上交易時,採用手機短訊認識,減低信用卡被盜用的機會。他建議縱橫遊客戶主動要求發卡銀行更換信用卡及信用卡號碼「自保」,由於涉及的客戶眾多,希望銀行亦可配合及豁免有關手續費。
客戶資料保留3年 20萬人中招
外洩的客戶資料,縱橫遊估計有20萬人受影響,當中可能包括姓名、身份證號碼、護照號碼、電話號碼、電郵地址、信用卡資料、郵遞地址及購買記錄,而涉及信用卡資料(當中包括信用卡背面稱為CVV或CVC代碼的3個數字)的受影響資料約佔一成。縱橫遊行政總裁兼執行董事袁振寧表示,如信用卡、身份證、護照號碼的敏感資料會保存一年;而姓名、電話及電郵地址的非敏感資料將保存三年。
私隱條例:個人資料保存時間不超過實際所需
「唔出事咪好方便。」莫乃光表示,商戶儲存客戶資料看似方便,但亦存在保安隱憂,雖然個人資料(私隱)條例要求「個人資料的保存時間,不得超過將其保存以貫徹該等資料被使用於或會被使用於的目的(包括任何直接有關的目的)所需的時間」以及「資料使用者須採取所有切實可行的步驟,以確保個人資料的保存時間不超過達至原來目的的實際所需(如在所有相關活動完成後,便不應保留任何因該項活動目的而收集的個人資料)」,不過何謂實際所需並不太清晰。他希望私隱專員公署可以建議保存時間,以便商戶跟從。