【特首選戰】林鄭競選網變木馬病毒陷阱 專家:犯低級錯誤應關閉
已宣佈參選的前政務司司長林鄭月娥,其競選網站今日正式啟動,多張家庭私藏照曝光,打造形象工程,惟網站一開張即被指犯下低級保安漏洞,有可能被人隨意刪減網頁的內容外,更有機會惹來駭客入侵,令網站淪為木馬病毒溫床。
林鄭月娥多次指自己不懂操作社交媒體,所以一直未有設立Facebook帳戶,亦是唯一一位參選人未有藉社交媒體作宣傳,直到今日競選網頁正式啟動,一口氣展示多張生活照、對香港的願景等資料。不過,網站啟動不足一日,就被人發現保安漏洞,隨時引發新一場「關公災難」。
身兼資訊科技界選委的互聯網協會網絡保安及私隱工作組召集人楊和生接受《香港01》記者訪問指,林鄭月娥競選網站明顯未做好保安設定,稍有相關知識的人都可輕易「駭入」,隨意刪改網頁上的任何資料,而更大的風險是會被人植入木馬程式,令到訪的市民有機會「中毒」。他認為林鄚競選辦犯下低級錯誤,「在十年前,大家對網絡安全認識的關注較低時,或者會經常有出現有關問題,但近年一些對建立網頁略為有認識的人士,基本上不都會犯上這個毛病」。
楊和生稱今次涉事的是一個競選網站,應有足夠資源做好相關保安措施,質疑對方是否交由一個「非I.T.人」負責,故未有關注這些基本問題。他指,有關保安漏洞只需花約10至30分鐘即可補救,但可能由網站曝光一刻起,已有人從中加入隱藏的木馬程式,而且不易被人發現,建議競選辦應立刻關閉網頁,重新設置網頁,以策萬全。
華爾基利信息安全研究組織電腦保安研究員賴灼東指,現時未見到林鄭競選網站被植入木馬程式 , 亦未有即時危險。他認為競選辦應留意可能有「服務中止」攻擊,即以高流量瀏覽,令網頁不能使用。賴稱現時公眾可以瀏覽該網站的「管理人登入介面」,有機會令人多番嘗試「撞密碼」而成功登入更改網絡資料,應改為指定人士才可到登入介面,以及使用較複雜的密碼。他指將來或有機會出現假冒的競選網站,他建議競選團隊改以「https」設置網站,會較為安全。
《香港01》向林鄭月娥競選辦公關戴健文查詢,他指一直有留意網絡保安,在正式啟動前有測試,認為現時無問題,但明白網絡保安會有變化,故會密切留意情況,無打算關閉網站。