黑客成功猜測香港郵政7249個帳戶登記電郵 專家教三招防重演
近日出現多宗機構的個人資料外洩事故,香港郵政今晚(20日)確認發生一宗涉及帳戶的資料保安事故,有未經授權人士利用香港郵政的電子服務功能,多次嘗試及猜測帳戶登記電郵地址,成功取得7,249個登記香港郵政帳戶的電郵地址。
香港郵政表示,事件只涉及帳戶持有人的電郵地址,未經授權人士並沒有取得相關帳戶持有人的個人資料,例如:帳戶登入名稱和密碼,以及在香港郵政的交易記錄。
騙案新聞大全.專頁|騙案日日有、天天新 Whatsapp騙案、電話詐騙即時「報」
有用戶收到要求支付運費電郵 全文簡體字兼列「香港郵政」位於美國
有被取得電郵的香港郵政帳戶登記人收到以「香港郵政」抬頭的電郵,要求其支付未結清的運費,附有連結。但內容為簡體字,而「香港郵政」地址卻在美國德州達拉斯Dallas。
香港郵政表示於周三(18日)發現事件後,已於當日即時通知所有受影響的帳戶持有人,並提醒他們注意可疑電郵或不知名的通訊,暫無發現相關資料被洩漏或竄改的跡象,亦沒有偵測到有關帳戶有任何可疑的活動情況。香港郵政稱已立即採取多項措施,進一步加強系統安全;已於同日向警方報案,以及向個人資料私隱專員公署尋求意見,並於今日向私隱公署提交報告。
香港郵政表示,根據政府既定程序,亦已將事件通報政府資訊保安事故應變辦事處,並正尋求政府資訊科技總監辦公室的意見,以進一步加強保安措施,會繼續密切監察情況。
香港郵政提醒市民,如收到任何聲稱由香港郵政發出的可疑電子郵件或短訊,切勿點擊嵌入的連結,或提供任何個人或財務資料(例如信用卡資料),或進行任何付款,不會透過電郵、短訊或社交媒體發送超連結以收集個人資料或要求付款。如有查詢,市民可致電香港郵政查詢熱線2921 2222。
方保僑:網頁加入「我不是機械人」等功能
香港資訊科技商會榮譽會長方保僑表示,事件是有騙徒利用程式,在香港郵政會員登入網頁不斷嘗試電郵登入,由於網頁會顯示是否有登記,騙徒從而可收集會員電郵名單。他指騙徒之後可模仿香港郵政,向用戶發出詐騙電郵,如釣魚電郵,如用戶沒有留意,輸入信用卡資料便會招致損失。
他指機構本身可以有至少三途徑避免出現這種情:不要展示是否有相關電郵登記,可以只寫如是會員會收到電郵;在登入網頁加入「我不是機械人」功能或是找相關圖片程式功能,避免自動程式嘗試登入:當發現同一個IP位址不斷重複輸人,可停其使用。