香港郵政的「投寄易」網上投寄平台日前爆出資訊保安事故,有用戶的通訊錄資料疑遭未經授權讀取,事件引起公眾對個人資料安全的憂慮。香港郵政在事發後已即時報警,並通報個人資料私隱專員公署等相關部門。香港資訊科技商會榮譽會長方保僑分析指,事件的核心或源於程式設計的漏洞,而非傳統的黑客攻擊,並建議當局及相關機構應進行全面的資訊保安審計,以防同類事件再次發生。
根據香港政府新聞處發出的新聞稿,事故涉及有網絡攻擊讀取「投寄易」帳戶持有人的通訊錄資料,當中可能包括寄件人和收件人的姓名、地址、電話號碼及電郵地址等敏感個人資料。署方在發現事件後已即時採取行動,阻止進一步的未經授權讀取,並強調會與警方合作調查。目前,「投寄易」服務已恢復正常,署方正調查受影響的帳戶數目,並會適時通知受影響用戶。
程式漏洞成關鍵 非傳統黑客入侵
對於這次事故的成因,香港資訊科技商會榮譽會長方保僑在接受訪問時表示,事件是一個相對基礎的程式設計漏洞。「據了解,這次的問題是更改網址中的某些字元,便有機會看到其他用戶的項目資料。」方保僑解釋,這種情況顯示系統在權限設定上存在疏忽,導致不同用戶之間的資料未能被妥善隔離。
他進一步指出,這類漏洞屬於應用程式層面的保安問題,即使系統基建如何穩固,只要程式本身有缺陷,資料外洩的風險便依然存在。他又指,類似的程式漏洞問題在不同機構的系統中並非首次出現,反映出在軟件開發及測試階段,對資訊保安的重視程度仍有待加強,必須確保程式在推出前經過嚴謹的保安檢測。
涉敏感資料應存於政府雲端基建
方保僑亦關注到涉事系統的託管方式。他提到,有指該應用程式並非架設於政府的雲端伺服器上。據悉,政府指引是敏感及個人資料不可存於公有雲平台上。
針對後續跟進,方保僑認為香港郵政除了修補當前的漏洞外,對於已受影響的用戶,現階段能做的有限,因為漏洞已被堵塞,但資料或已外洩。他建議:「用戶可以做的,是檢視自己『投寄易』帳戶的通訊錄內有哪些聯絡人,並主動通知他們,提醒他們近期可能因此收到可疑訊息或電郵,要多加防範,讓可能受牽連的第三方提高警覺,減低潛在損失。」
Source:政府新聞處