黑客勒索消委會|電腦專家指部份法定機構無測試 致黑客攻擊漏洞

撰文:孔繁栩
出版:更新:

本港再有政府相關機構遭黑客勒索,消息指消費者委員會被盜取投訴人及訂戶資料。電腦安全研究員賴灼東指出,暫未見有消委會資料在「暗網」(dark web)出售,認為消委會應第一時間交代,「唔好以為數碼港係個別案事件,存僥倖心態度『食花生』」。他又指,本港不少法定機構未有依循政府的保安指引,定期進行滲透性測試,很容易成為漏洞讓黑客攻擊。

網絡上有不少高規格的雲端平台可存放資料,賴灼東認為機構可因應規模採用不同保存方式,即使存放於私人伺服器,亦要設立保安措施,亦可採用「終端安全」偵測可疑入侵行為,攔截攻擊。

電腦安全研究員賴灼東。﹙洪業銘攝﹚

電腦安全研究員賴灼東表示,截至下午5時半,「暗網」暫未見到有出售消委會相關外洩資料,亦未知屬於甚麼黑客組織,但認為消息傳出後,消委會有責任盡早回應,向公眾交代,而非待明日(22日)才召開記者會,「依家未知係幾時發生,被盜取幾多,但第一日就應該要同受影響人士交代」。

消委會網頁顯示,9月20日系統發生故障。(消委會網頁截圖)

籲各機構勿心存僥倖「食花生」

他質疑,本港不少法定機構未有依循政府的保安指引,定期進行滲透性測試,「唔好以為數碼港係個別案事件,存僥倖心態度『食花生』,應該係因應事件睇返自己有無同樣漏洞,否則有相同漏洞的機構會畀黑客入侵,火燒連環船」。

現時網絡上有不少高規格的雲端平台,例如較為知名的「甲骨文」(Oracle)等平台,賴灼東認為,不同機構可視乎其規模,採用不同方式保存資料,以消委會為例,雖然未知是如何處理資料,但即使存放於私人伺服器,只要做好雙重認證等保安措施,而一般防毒軟件未必能偵測勒索軟件,建議採用「終端安全」(end point security),可以偵測系統內的可疑活動,攔截攻擊。