國泰疑以客戶真實資料測試遭黑客入侵 知情者:內部系統無咩保安
國泰航空昨(25日)爆出私隱外洩災難,940萬名乘客資訊獲不當取覽,當中包括個人資料,如護照號碼、身份證號碼、信用卡號碼等;有知情電腦保安研究員指,據悉國泰的外判網絡安全供應商,以客戶真實資料作系統測試時,遭黑客入侵測試系統網絡:「(內部系統)無咩保安其實,唔會有防火牆,所以佢就如入無人之境。」他又指,國泰在3月發現問題,5月確認資料外洩,黑客有長時間作攻擊嘗試。
他指,近年國泰大量裁減資訊科技保安專才,將服務外判造成保安漏洞,坦言外判商只按本子辦事,不會作廿四小時網絡監測,認為國泰應善待內部專才,減少服務外判。《香港01》正就相關消息向國泰查詢。
國泰航空昨晚(24日)在聯交所發通告,指公司及其全資子公司港龍航空,大約940萬位乘客的資料曾被不當取覽,當中包括個人資料,如護照號碼、身份證號碼等。國泰透露早於今年3月已發現資訊系統有可疑活動,惟到5月初才確認個人資料曾被外洩。
據悉外判商作系統測試時遭到黑客入侵
電腦保安研究員賴灼東稱,較早時國泰曾聯絡他,據悉其外判網絡安全供應商,以客戶真實資料作系統測試時遭到黑客入侵。他解釋,事實上公司需要以真實資料作測試,才可確保日後服務供使用時顯示的資料準確無誤,惟期間外判商的網絡系統遭黑客入侵:「(內部系統)無咩保安其實,唔會有防火牆,所以佢就如入無人之境。」
3月發現5月確認資料外洩 黑客可長時間嘗試作攻擊
他續說,國泰早於3月已發現有可疑,包括網絡供應服務器曾出試異常,惟最終於5月才確認資料外洩,即意味著黑客可長時間嘗試攻擊系統:「防守要逐個窿(漏洞)去守,唔知有無10個窿,但攻擊者1個窿就可以入到去。」
外判商只按本子辦事 國泰將服務外判屬高風險行為
他稱,外判商只按本子辦事,不會替公司成立實時監測中心作全天候網絡監測,容易造成保安漏洞。然而,近年國泰卻大量裁減相關專才轉為聘請外判商,他坦言,國泰擁有大量乘客私隱資料,將服務外判屬高風險行為,認為國泰應善待內部專才,減少服務外判。