讚好
用戶還喜歡
稻穗小編 張貼文章
(2018-10-30 謝雅寶、梁偉澄 晴報頭條)
國泰航空上周公布940萬名乘客資料外洩後,國泰稱留意到有不法分子以網絡「釣魚」電郵攻擊受影響人士,提醒若存疑切 勿點擊連結。警方昨到國泰城調查,消息指由於涉事外判商位於美國,或需赴美跟進。私隱專員公署暫接獲89宗投訴及查詢 。專家指,個人資料在黑市有價有市,例如信用卡資料可賣50元美金(約390港元)。警方網絡安全及科技罪案調查科昨 早一行8人,到達機場國泰城調查。消息人士稱,由於國泰伺服器資料眾多,故需與國泰一同檢視,要求將最有關聯的資料優 先跟進調查,而國泰律師則要求警方以書面列明雙方同意提交的資料,國泰稍後才安排提供「抄寫本」予警方。
據知,涉事的外判商在美國,警方需先檢視國泰伺服器資料,才決定是否需赴美跟進。警到國泰城調查 或需赴美跟進國泰洩密事件發生後,設立專屬網站處理,惟該網站留意到有網絡釣魚事件發生,國泰提醒市民,只會透過會透 過infosecurity@cathaypacific.com發出電郵發出電郵,並不會索取任何個人或財務資料及密碼,若對任何電郵存疑,切勿點擊連結及打開任何附件或回覆電郵 。
截至昨午5時,私隱專員公署共接獲41宗投訴及48宗查詢,當中並無涉及與網絡釣魚有關的投訴或查詢。香港個人資料私 隱專員黃繼兒表示,曾收到標題聲稱為國泰發出的電郵,但未有開啟,因可能涉及網絡「釣魚電郵」。他強調,公署不會將道 聽塗說的東西「放在腦中」,亦不會未審先判,假如在循規審查初期發現事件影響眾多人士利益,而有關機構未做好事件控制 及補救措施,便會深入調查。公署上周四已向國泰發出初步問卷,限期10日內回覆,即11月5日前,國泰至今暫未回答。 黃繼兒重申,本港沒有強制必須通報資料洩漏的要求,只是鼓勵機構公布,形容這是「道德和道義」的責任。對於是否需受歐 盟條例監管,他指已啟動檢視現行條例,正積極考慮。收「國泰」電郵 私隱專員無開中大信息工程學系副教授劉永昌指,「釣魚」電郵會冒認國泰的類似通知郵件,引使用者打開連結,或要求輸入 個人資料。生產力促進局電腦保安事故協調中心負責人黃家偉指,是次事件涉及眾多個人資料,「身份證號碼、電話、姓名等 」,部分或已出現在黑市販賣。
香港網路協會網絡保安組召集人楊和生稱,愈多人關注事件,黑客便會出動「覓食」,根據今年初最新的平均黑市價,信用卡 資料價值50美元(約390港元),而Gmail的電郵登入資料,則價值1.04美元(約8港元)。留意網址前 有否「鑰匙」圖案至於如何分辨釣魚郵件,趨勢科技香港區顧問李浩然指,可先檢查送件者的電郵地址,因送件者名稱可自行 更改,電郵地址卻不可改,故須檢查清楚送件者的電郵地址真確。此外,他指國泰發出電郵時的路徑會加密,打開電郵時,可 留意網址前是否有一個「鑰匙」圖案,如有就表示是安全。楊和生亦指,收到國泰的電郵時,可留意上款是否自己的名字,因 假電郵為方便,都會用統一上款。
讚好
1 讚好
稻穗研究院 讚好
稻穗小編 張貼文章
( 2018-10-25 明報頭條 )
【明報專訊】國泰航空及子公司港龍航空約940 萬名乘客資料曾被不當取覽,資料包括姓名、電話、約86 萬個護照號碼、24.5 萬個香港身分證號碼,以及430 張已逾期或無安全碼的信用卡號碼等,外泄資料量較去年選舉事務處失378 萬名選民資料,多出一倍。國泰3 月已發現可疑,5 月確認出事,至昨晚10 時多才發公告。私隱專員公署稱從國泰公告得悉事件,非常關注,將主動接觸國泰及展開審查。
【相關新聞刊A9】3月見可疑 5月確認「未授權取覽」國泰在公告指出,今年3 月首次在系統發現可疑活動,事後由網絡安全公司協助調查,同時加強資訊系統保安,5 月初確認有個人資料被未獲授權取覽。國泰稱,無證據顯示任何個人資料被不當動用,亦無任何乘客的旅行及常客計劃資料被 全部取覽或密碼外泄,強調受影響系統與國泰航班系統完全獨立,不影響航班安全,但未交代確認外泄近半年始公布的原因。 稱無證據資料被不當動用國泰外泄的資料包括86 萬個護照號碼、24.5 萬個香港身分證號碼、403 張已逾期信用卡號碼和27 張無安全碼的信用卡號碼,每名受影響乘客被不當取覽的資料皆不同;其他未獲授權取覽的資料還有乘客姓名、國籍、出生日 期、電話號碼、電郵地址、地址、飛行常客計劃的會員號碼、顧客服務備註及過往飛行紀錄。CEO道歉 開事件專屬網站國泰行政總裁何杲就事件致歉。國泰已通知警方,並正知會當局及受影響乘客,又設立專屬網站及顧客專線( 見表)。
警方稱正了解事件。資訊科技商會資訊保安召集人范健文稱,國泰未有交代如何引致事件,「有不少可能性,例如國泰網站有 漏洞、員工登入的資料和密碼被人瀏覽到,但(國泰)完全沒說」。他相信國泰每年應有網絡保安的安全測試,質疑為何沒找 出漏洞。資訊科技界議員莫乃光對國泰昨晚才公布感不滿,「為何5 月確認個人資料被取覽,拖5 個月才公布?我懷疑國泰有拖延」。他引述歐盟最近通過的《通用數據保障條例(GDPR)》,若發生同類事故,需於72 小時內通報,違者可罰年度全球營業額4%。他指本港私隱條例已不合時宜,罰則及阻嚇不高。莫又稱,香港近年最大同類事 件是去年選舉事務處失去378 萬選民資料,現不知受影響國泰乘客有多少港人,不肯定今次是否本港歷來最大宗資料外泄事件。譚文豪:被泄資料非完整公 民黨譚文豪稱,以他了解,被泄的並非完整資料。他舉例:「例如我名字,『譚文豪』可能只泄露了『譚』和『豪』兩字,風 險未必太大。」他相信國泰已有高度保安系統,但今次顯示私隱安全有隱憂。