用戶電郵遭洩漏 香港郵政電子系統疑受攻擊
再有公營部門的電腦系統疑遭受攻擊,繼消委會和數碼港早前被黑客入侵,竊取資料並勒索後,香港郵政亦爆出電子帳戶系統被攻擊,有用戶的電郵遭洩漏。《光傳媒》收到消息指,香港郵政早前向受影響用戶發電郵確認事件,稱已向警方報案,並向個人資料私隱專員公署尋求意見。《光傳媒》就事件向郵政署、警方及私隱專員公署查詢,正等候回覆。
旅遊寫作人「薯伯伯」向《光傳媒》表示,前日(18日)收到一封來自香港郵政的電郵,指「從系統中發現有未經授權人士利用我們(郵政署)的電子服務功能,透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址,並最終碰巧取得了你(用戶)用作與香港郵政帳戶登記的電郵地址」。
香港郵政強調,洩漏的資料只涉及在香港郵政登記的電郵地址,沒有跡象顯示個人資料及帳戶交易等資訊,有任何洩漏或篡改。
薯伯伯稱,起初以為是電郵詐騙,半信半疑下確認電郵留下的查詢電話號碼是香港郵政。當他撥通後,通話被轉駁至1823「政府一線通」,當值職員確認電郵中的香港郵政資安事件,並建議他做好資訊保護措施。不過,職員並沒有透露事件詳情和發生經過。
薯伯伯:只屬低級攻擊 驚訝未能防範
薯伯伯憶述在上周六(14日)曾收到香港郵政的電郵,向他確認其香港郵政帳戶名稱,當時不疑有他。但在4天後收到電郵地址遭洩漏的消息,推測黑客的攻擊就在當天。
他又估計,有人循不同途徑(如論壇或以往的電郵洩漏事件)取得大量電郵地址後,以程式或真人,將電郵地址輸入至香港郵政的電子帳戶平台,繼而以「重設密碼」或「找查用戶名字」等手段,測試有關電郵曾否在平台登記,繼而嘗試攻入帳戶。
他形容有關手法屬「低級攻擊」,網站只需要限制嘗試次數,或以較進階的「Captcha驗證」(要求用戶以不同方式證明自己是人類),已能阻截相關攻擊;又或者當系統檢測到多次登錄失敗後,向管理員發出潛在「暴力破解」(brute-force attack)警告等,已能避免事件。他驚訝香港郵政未能防範類似的攻擊。
香港郵政稱已報警 未公開事件
香港郵政在發出的電郵表示,知悉洩漏電郵事件後已向警方報案,並正向個人資料私隱專員公署尋求進一步意見。部門亦已採取多項措施,增強網絡防禦能力及加強系統安全。
不過,薯伯伯質疑香港郵政未有公開事件,讓市民或其他用戶提高警覺,做法不理想。他稱不法分子有可能取得電郵地址後,再設法取得用戶其他資料,如家人或朋友的電郵地址等,進而影響其他層面。他促請香港郵政公開事件,並讓市民和用戶有所防範。
《光傳媒》就洩漏用戶電郵事件的發生過程和涉及用戶數目向郵政署查詢,亦分別向警方和私隱專員公署查詢是否有人報案或收到相關投訴,正等候回覆。