用戶電郵遭洩漏 香港郵政電子系統疑受攻擊

再有公營部門的電腦系統疑遭受攻擊，繼消委會和數碼港早前被黑客入侵，竊取資料並勒索後，香港郵政亦爆出電子帳戶系統被攻擊，有用戶的電郵遭洩漏。《光傳媒》收到消息指，香港郵政早前向受影響用戶發電郵確認事件，稱已向警方報案，並向個人資料私隱專員公署尋求意見。《光傳媒》就事件向郵政署、警方及私隱專員公署查詢，正等候回覆。

旅遊寫作人「薯伯伯」向《光傳媒》表示，前日（18日）收到一封來自香港郵政的電郵，指「從系統中發現有未經授權人士利用我們（郵政署）的電子服務功能，透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址，並最終碰巧取得了你（用戶）用作與香港郵政帳戶登記的電郵地址」。

香港郵政強調，洩漏的資料只涉及在香港郵政登記的電郵地址，沒有跡象顯示個人資料及帳戶交易等資訊，有任何洩漏或篡改。

薯伯伯稱，起初以為是電郵詐騙，半信半疑下確認電郵留下的查詢電話號碼是香港郵政。當他撥通後，通話被轉駁至1823「政府一線通」，當值職員確認電郵中的香港郵政資安事件，並建議他做好資訊保護措施。不過，職員並沒有透露事件詳情和發生經過。

薯伯伯：只屬低級攻擊 驚訝未能防範

薯伯伯憶述在上周六（14日）曾收到香港郵政的電郵，向他確認其香港郵政帳戶名稱，當時不疑有他。但在4天後收到電郵地址遭洩漏的消息，推測黑客的攻擊就在當天。

他又估計，有人循不同途徑（如論壇或以往的電郵洩漏事件）取得大量電郵地址後，以程式或真人，將電郵地址輸入至香港郵政的電子帳戶平台，繼而以「重設密碼」或「找查用戶名字」等手段，測試有關電郵曾否在平台登記，繼而嘗試攻入帳戶。

他形容有關手法屬「低級攻擊」，網站只需要限制嘗試次數，或以較進階的「Captcha驗證」（要求用戶以不同方式證明自己是人類），已能阻截相關攻擊；又或者當系統檢測到多次登錄失敗後，向管理員發出潛在「暴力破解」（brute-force attack）警告等，已能避免事件。他驚訝香港郵政未能防範類似的攻擊。

香港郵政稱已報警 未公開事件

香港郵政在發出的電郵表示，知悉洩漏電郵事件後已向警方報案，並正向個人資料私隱專員公署尋求進一步意見。部門亦已採取多項措施，增強網絡防禦能力及加強系統安全。

不過，薯伯伯質疑香港郵政未有公開事件，讓市民或其他用戶提高警覺，做法不理想。他稱不法分子有可能取得電郵地址後，再設法取得用戶其他資料，如家人或朋友的電郵地址等，進而影響其他層面。他促請香港郵政公開事件，並讓市民和用戶有所防範。

《光傳媒》就洩漏用戶電郵事件的發生過程和涉及用戶數目向郵政署查詢，亦分別向警方和私隱專員公署查詢是否有人報案或收到相關投訴，正等候回覆。