消委會放工被黑客入侵 翌早返工始知 外洩資料待「撕票」始確實
繼數碼港日前被黑客入侵後,消費者委員會亦有電腦系統被黑客入侵及勒索。消委會今(22日)在記者會表示調查事件後發現,黑客早於9月19日約傍晚6時入侵電腦系統,歷時7小時。到9月20日早上,員工上班工作時發現系統未能如常使用,始揭發事件,即被入侵半日後才發現,至周四(21日)早上報警備案。
對於為何一日後才報警,消委會主席陳錦榮反駁:「報啲乜嘢呢?我想問你啲乜嘢呢頭一個鐘頭?你自己都唔知個系統有咩問題。」他強調,過去48小時已採取適當行動。消費者委員會總幹事黃鳳嫺指,現時很難追查外洩資料,可能要等待被「撕票」時,才了解哪些資料被外洩。
陳錦榮表示,事發後已與鑑證專家全力檢查系統,確認在被入侵的7個多小時內,系統的數據流量較正常多出65GB,但是否涉及個人資料外洩,以及其覆蓋範圍仍在調查中。
至於受影響的人士,陳錦榮指主要涉以下四種:
1. 員工、前員工及其家屬,以及求職者的資料,如身份證號碼、住址、出生日期和履歷;
2. 《選擇》月刊訂戶資料,當中包括約8,000名曾向消委會提供信用卡資料的訂戶;
3. 消費投訴人士的資料,然而因為投訴處理系統獨立運作的系統,經檢查後確定運作大致正常;
4. 消委會會的合作夥伴,保存的資料包括公司地址、電話、電郵,部分或存有手機號碼。
陳錦榮表示,上述四類的人士未必全都受影響,有部份人的資料或沒有外洩,但難以估計實際人數。消委會總幹事黃鳳嫺表示,或需在黑客「撕票」才會知悉具體外洩資料。
至於存放了多少履歷表、前員工資料,黃鳳嫺指,求職者的資料會保存兩年,形容「好短好短」;員工則會保留七年。
黑客要求消委會於9月23日約晚上11時20分前繳交50萬美元。陳錦榮強調,消委會不會提交「贖金」。問到是否只可靜待「撕票」,黃鳳嫺表示,以現今技術而言,並沒有鑑證方法得知涉及了甚麼資料,「細節真係唔知道」。不過她強調,並非無事可做,已透過風險評估四大類可能受影響的人士,再盡量通知,亦正在修復系統。
陳錦榮表示,事件不涉員工個人誤點釣魚網站犯錯,而是網絡安全問題。至於對上一次何時更新系統,黃鳳嫺表示,有制定政策定期更新不同系統,例如每五年更換電郵伺服器。她表示,有預留金錢更換系統,「就算唔係最快,但肯定係根據市場一貫最佳作業模式去處理更新」。
黃鳳嫺稱花不少資源仍然難以「槍彈不入」
黃鳳嫺形容,現時黑客技術無恐不入,即使花費不少資源,仍然難以「bulletproof(槍彈不入)」,假如黑客不斷蓄意攻擊,都防不勝防。
回應隔一日始報警 陳錦榮:自己都唔知個系統有咩問題報啲乜嘢呢?
不過今次發現事件後,消委會並未即時報警。陳錦榮表示,過去48小時已採取適當行動,但報警前需先調查,「報啲乜嘢呢?我想問你啲乜嘢呢頭一個鐘頭?你自己都唔知個系統有咩問題。」