消費者委員會今日(22日)表示,已確認其電腦系統周三(20日)早上被黑客以勒索軟件入侵約7個多小時,有8成系統受破壞,翌日(21日)早上已向警方報案,並向個人資料私隱專員公署備案。消委會估計,有4類人士的個人資料可能受影響,包括當局員工、前員工及其家屬,求職者、約8,000名曾提供信用卡資料的《選擇》月刊訂戶、投訴人及消委會的合作夥伴,涉及資料包括他們的身份證號碼、電話,公司地址等。
消委會主席陳錦榮表示,黑客要求他們在明日(23日)晚上11時20分前交付50萬美元贖金,逾時則須支付70萬美元。陳錦榮指絕對不會支付贖金,並強烈譴責黑客在網絡世界的非法行為;會全力配合警方調查,就事件為市民帶來不便而深表歉意。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
陳錦榮指,有關電腦系統確認被入侵後,已即時加強安全措施防止再受到入侵,並立即委託鑑證專家調查。經調查後,在遭到入侵的7個多小時內,有關系統的數據流量較正常情況多出65GB,目前仍在調查是否涉及個人資料外洩及其覆蓋範圍。消委會總幹事黃鳳嫺就補充指,黑客應在19日傍晚6時左右開始入侵,直至員工發現未能登入有關系統,才獲通報。
黃鳳嫺表示,消委會一直有投放資源提升網絡安全,並已安裝市面上可以採購到、以最佳作業模式為本的網絡安全方案,並有定期作風險評估及審計。此外,消委會員工亦無法自行安裝任何軟件。她又指,希望公眾明白黑客手法層出不窮,而且沒有一種軟件是完全「防彈(Bulletproof)」。而有多少個人資料被盜,她就表示要待黑客「撕票」才可得知,但消委會並不會坐以待斃,會透過文件嘗試找出可能受影響的人士並聯絡他們。
被問到入侵源頭,陳錦榮就指並不清楚是否與早前入侵數碼港的黑客相同,惟他強調並非有員工錯誤點擊一些釣魚網站的超連結。他亦稱,在確認受到入侵後首24個小時須先作基本調查有何資料或受影響,因此才會事隔一日後才向警方報案,他又反問在首一個小時「報啲乜嘢嘢呢」。黃鳳嫺就說,已與鑑證專家調查出入侵源頭,基於警方已介入調查,故不便透露。
或受影響的4類人包括:
1. 員工、前員工及其家屬,空缺申請人的資料,如身份證號碼、住址、出生日期及履歷。其中求職者資料會在保存2年後銷毀,員工資料則為7年。
2. 《選擇》月刊訂戶資料,當中包括約8,000名曾向消委會提供信用卡資料的訂戶。
3. 消費投訴人士的資料,因投訴處理系統屬獨立運作,經檢查後確定運作大致正常。
4. 消委會合作夥伴,如服務提供者等,涉及資料包括其公司地址、電話、電郵,部份或存有手機號碼。
1. 員工、前員工及其家屬,空缺申請人的資料,如身份證號碼、住址、出生日期及履歷。其中求職者資料會在保存2年後銷毀,員工資料則為7年。
2. 《選擇》月刊訂戶資料,當中包括約8,000名曾向消委會提供信用卡資料的訂戶。
3. 消費投訴人士的資料,因投訴處理系統屬獨立運作,經檢查後確定運作大致正常。
4. 消委會合作夥伴,如服務提供者等,涉及資料包括其公司地址、電話、電郵,部份或存有手機號碼。
消委會指,會盡快聯絡受影響人士,其網站亦將就今次事件設問答專頁以供查詢。
