用戶登入
用戶登入
主題3:互聯相依的當代世界
【明報專訊】香港郵政周三(18日)發現未經授權者利用香港郵政電子服務功能取得帳戶持有人的登記電郵地址,即日通知受影響人士,至昨日通報私隱專員公署,並在傳媒查詢後在晚上公布,有人嘗試無數次(making countless attempts)猜測香港郵政帳戶持有人的登記電郵地址,「碰巧取得」7249個帳戶持有人用作登記香港郵政帳戶的電郵地址,但沒取得登入名稱、密碼和交易紀錄等資料,亦未發現相關資料泄漏或竄改的迹象,或可疑帳戶活動情况。
有資訊科技業代表估計,黑客或看中香港郵政系統漏洞,獲取電郵地址後可向相關用戶發電郵冒充香港郵政,騙取信用卡號碼等,認為香港郵政發現事故後應通知全部帳戶,而非只通知受影響者。
私隱署:昨接獲通報
本報昨午向香港郵政查詢,過往曾否發生同類事故、如何發現出事、其間曾否嘗試阻止未經授權者入侵,但未獲正面回覆。香港郵政稱周三發現事故後,即通知所有受影響帳戶持有人,提醒他們注意可疑電郵或不知名的通訊;並已立即採取多項措施,進一步加強系統安全,同日向警方報案和向私隱專員公署尋求意見,昨再向署方提交報告。香港郵政已通報政府資訊保安事故應變辦事處,正尋求政府資科辦的意見,以進一步加強保安措施,會繼續密切監察情况。
香港郵政提醒,如收任何聲稱由香港郵政發出的可疑電郵或短訊,切勿點擊連結、提供任何信用卡等個人資料或付款。
警方昨回應稱,早前接獲有關報案並交由網絡安全及科技罪案調查科跟進。私隱專員公署稱,昨收到通報,已據既定程序展開循規審查,並建議有關機構應盡快通知受影響的人。
本報昨瀏覽香港郵政網頁,帳戶持有人可憑帳戶名稱和密碼登入。若忘記密碼,頁面有重設密碼功能,用家可輸入登記香港郵政帳戶的電郵地址,以收取重設密碼的連結。記者昨以明報電郵地址測試,由於非登記用戶,系統顯示「未有註冊」,意味系統可用來辨認電郵地址有否註冊。
香港資訊科技商會榮譽會長方保僑估計黑客看準漏洞,設計程式測試不同電郵地址是否在香港郵政註冊,料可「撞幾十萬次」,他推斷黑客取得登記電郵地址後,可冒充香港郵政向帳戶發電郵,如訛稱用家早前購買的特別郵票或首日封,帳單尚欠數元,要求提供信用卡號碼資料補交費用,盜取信用卡資料。他認為香港郵政發現事故後應通知全部帳戶,非只通知受影響者。
方保僑:可用程式撞幾十萬次
方保僑又指香港郵政可改善「忘記密碼」的頁面設計,不應辨別該電郵地址是否已註冊,可改為陳述「如閣下提供的電郵地址已註冊,你將收到相關電郵」;並可加強網站保安,設「Captcha驗證碼」,要求用家登入前先輸入畫面上的英文字或數字。
薯伯伯批無交代泄漏經過
旅遊寫作人「Pazu薯伯伯」昨午在社交平台揭發事件,他在帖文質疑香港郵政忽略公眾知情權,事發後兩天未主動向公眾和傳媒交代,而通知受影響用戶時亦只提醒他們保護個人資料,「但事件泄漏經過、責任所在、如何改善,全皆欠奉」。