視點31

商戶保安不足 顧客資料怎保障?

doc-download pdf-download

播出日期: 2017-11-14學習單元: 今日香港 
片長: 05 分鐘
簡介:
旅行社「縱橫遊」在2017年11月初遭黑客入侵電腦系統的客戶資料庫,顧客姓名、電話號碼、身分證號碼等資料均被黑客鎖上,信用卡的保安編碼更有機會外洩,縱橫遊已就事件報警。有專家批評商戶對於個人資料保障不足,保障敏感資料的難度及成本有多高?現時只有部分商戶在網上收費時要求消費者雙重認證,網上消費安全如何保障?本集節目訪問網絡保安專家賴灼東以及資訊保安業界魏滿恩,探討網絡保安的重要性以及保障客戶資料的方法。

  • 了解縱橫遊被黑客入侵的情況
  • 分析縱橫遊網絡保安不足之處
  • 講述網上商戶如何保障客戶資料
  • 了解私人企業保護客戶資料的方法
  • 探討個人資料私隱條例應否加強罰則

持分者

人物 / 組織

經歷 / 看法

持有客戶資料的商戶

 

 

袁振寧
(縱橫遊行政總裁)

  • (11月時)發現有黑客向公司發出一封勒索電郵,指客戶資料庫已被存取,要求交贖金解鎖。資料包括客戶姓名、電話號碼、出生日期、身分證號碼、護照號碼及信用卡資料

網絡保安專家

賴灼東
(黑客入侵研究及應變專家)

  • 了解過這次(縱橫遊)事件,認為旅行社的網絡安全工作不足,沒有完善監察,連資料備份也沒有做,還聲稱要白紙黑字還原資料,這是非常荒謬
  • 認為縱橫遊儲存保安編碼是不對的,只在收費時才需要,之後應該刪除。商戶不應儲存信用卡後的保安編碼,這是十分危險,否則別人取得完整的信用卡資料,便可以隨時轉帳
  • 一般在網上購物,要輸入信用卡號碼、有效日期,及卡後的 CVC 安全碼。為增加保障,亦有商戶要求雙重認證功能,銀行會透過手機傳送一次性密碼,要求用戶網上交易時輸入。不過並非所有網上商戶向客戶提出這要求,手機短訊同樣有漏洞,有可能被人截取,但卻是現時唯一途徑。通過手機、短訊、電郵通知你,認為這是現時最好的做法,客戶無須每天檢查戶口狀況,銀行能夠提供協助
  • (在外國)每遺失一項資料,都要被罰款,可能每項200、300或500元,若外洩20萬個客戶資料,罰款可以十分驚人
  • 若在外國發生資料外洩,行政管理人員會被判處入獄,並不是公開道歉、鞠躬便能了事
  • 認為現時資料加密技術已經相當成熟,再沒有藉口做不到

資訊保安業界

魏滿恩
(高威電信技術總監)

  • 表示商戶要做好網路保安,困難不大,但要針對公司的營運模式來處理
  • 小心儲存並不是難事,最基本要避免資料外洩,只須加密信息便可,現時亦有技術變亂數據的排列,即使別人取得這些資料,也不知道其中的排列關係
  • 現時的儲存裝置進行資料加密時,不難發現會引申不尋常的儲存讀寫,這已是一個警告
  • 他們最少要有適當備份、加密敏感資料,並作適當的監察,以避免問題出現

其他資料:

縱橫遊數據系統被入侵的情況

  • 11月初,旅行社縱橫遊的數據系統被黑客入侵,估計洩漏了20萬名顧客資料。當中10%有信用卡資料,部分更包括信用卡背面的保安編碼,黑客要求價值7位數字港元的比特幣贖金,才願意為這些資料解鎖。
  • 雖然警方在3日之內,成功把被黑客鎖上的資料庫解鎖,暫時未有跡象顯示客戶資料曾被轉售,但事件引起大眾擔憂,商戶有否妥善儲存市民的個人敏感資料
  • 被非法存取的資料,包括信用卡背後的保安編碼,通常是3位或4位數字,用作網絡交易的安全特徵,證實付款人在交易期間擁有信用卡,防止欺詐
  • 這次黑客利用 BitLocker 封鎖客戶資料有別於今年肆虐全球的黑客軟件 WannaCry。BitLocker 只是視窗內置的加密軟件,並非新型電腦病毒或程式

縱橫遊就黑客入侵的聲明

  • 「本公司發現,有未經授權人士於2017年11月6日存取我們的系統內本集團的客戶數據庫。受影響的數據庫內載有我們客戶的資料,當中可能包括姓名、身分證號碼、護照號碼、電話號碼、電郵地址、信用卡資料、郵遞地址及╱或購買記錄」
  • 「發現事件後,我們即時展開徹底調查,包括全面檢查受影響的系統。完成調查後,我們將為系統實行適級,以抵擋以後任何攻擊。我們亦已就該事件向香港警察報案,並會協助調查」
  • 「我們正在聯絡每位可能受影響的客戶,本公司對事件深表遺憾,並向受影響客戶致歉。我們承諾保護客戶的資料和私隱,將繼續加強系統保安,確保日後不會再發生同類事件」

《個人資料(私隱)條例》有關客戶資料外洩的條例

  • 即使企業不慎引致客戶資料外洩,初犯者可能只會收到私隱專員發出的執行通知,要求採取補救措施
  1. 賴灼東認為縱橫遊處理客戶資料時存在甚麼漏洞?這會帶來什麼影響?
  2. 根據節目內容,商戶可以如何保障客戶的資料?試舉兩個例子。
  3. 「對企業而言,加密客戶資料是利多於弊。」你在多大程度同意以上說法?解釋你的答案。
  4. 賴灼東認為《個人資料私隱條例》對商戶來說阻嚇力低,你多大程度上同意他的看法?解釋你的答案。
  5. 根據資料及就你所知,政府、商戶、市民應如何保護個人資料避免外洩?
(00:00) - 袁振寧交代客戶資料庫被黑客入侵的經過以及詳情
(01:19) - 賴灼東批評縱橫遊的網絡安全不足
(01:41) - 賴灼東指縱橫遊不應儲存客戶的信用卡保安編碼
(02:14) - 賴灼東指雙重認證功能雖有漏洞,但仍能保障網上消費安全
(03:13) - 魏滿恩指商戶只須加密信息便能避免資料外洩
(04:45) - 賴灼東指資料外洩在國外是嚴重罪行
昔日節目
2019-06-25

視點31 - 中國式陽光司法

何謂中國式「陽光司法」?基本法委員會副主任譚惠珠指,內地法庭審訊會直播、根據案件編號可以追查到審訊的進度。香港大學...

2019-06-04

視點31 - 音樂建構六四30

1989年的六四事件催生了不少音樂創作:樂隊《達明一派》當年推出專輯《神經》,以隱喻方式記錄六四,30年後,樂隊成...

2019-05-28

視點31 - 黨在你左右?

中共近年強調要把黨的領導融入國企各環節,把企業黨組織嵌入公司結構。在香港上市的過百間國企,亦緊隨要求修改公司章程,...

2019-05-21

視點31 - 中國新聞的寒冬?

近年,中央政府不斷收緊對媒體的控制,記者往往感受最深;不少在內地,甚至在香港採訪中國新聞的記者也選擇離開。有資深傳...

2019-05-07

視點31 - 百年五四

五四運動距今已100年,不同的政治人物曾對此運動作出不同的政治演釋:從國民黨呼籲掃除共黨奸匪、共產黨批反帝反封建,...

版權聲明 | 會員使用條款 | 私隱政策 | 免責聲明 | 無障礙網頁 | 回應及意見 | 關於我們 |
Copyright © 2019 eTVonline. 版權所有 不得轉載