視點31

商戶保安不足 顧客資料怎保障?

doc-download pdf-download

播出日期: 2017-11-14學習單元: 今日香港 
片長: 05 分鐘
簡介:
旅行社「縱橫遊」在2017年11月初遭黑客入侵電腦系統的客戶資料庫,顧客姓名、電話號碼、身分證號碼等資料均被黑客鎖上,信用卡的保安編碼更有機會外洩,縱橫遊已就事件報警。有專家批評商戶對於個人資料保障不足,保障敏感資料的難度及成本有多高?現時只有部分商戶在網上收費時要求消費者雙重認證,網上消費安全如何保障?本集節目訪問網絡保安專家賴灼東以及資訊保安業界魏滿恩,探討網絡保安的重要性以及保障客戶資料的方法。

  • 了解縱橫遊被黑客入侵的情況
  • 分析縱橫遊網絡保安不足之處
  • 講述網上商戶如何保障客戶資料
  • 了解私人企業保護客戶資料的方法
  • 探討個人資料私隱條例應否加強罰則

持分者

人物 / 組織

經歷 / 看法

持有客戶資料的商戶

 

 

袁振寧
(縱橫遊行政總裁)

  • (11月時)發現有黑客向公司發出一封勒索電郵,指客戶資料庫已被存取,要求交贖金解鎖。資料包括客戶姓名、電話號碼、出生日期、身分證號碼、護照號碼及信用卡資料

網絡保安專家

賴灼東
(黑客入侵研究及應變專家)

  • 了解過這次(縱橫遊)事件,認為旅行社的網絡安全工作不足,沒有完善監察,連資料備份也沒有做,還聲稱要白紙黑字還原資料,這是非常荒謬
  • 認為縱橫遊儲存保安編碼是不對的,只在收費時才需要,之後應該刪除。商戶不應儲存信用卡後的保安編碼,這是十分危險,否則別人取得完整的信用卡資料,便可以隨時轉帳
  • 一般在網上購物,要輸入信用卡號碼、有效日期,及卡後的 CVC 安全碼。為增加保障,亦有商戶要求雙重認證功能,銀行會透過手機傳送一次性密碼,要求用戶網上交易時輸入。不過並非所有網上商戶向客戶提出這要求,手機短訊同樣有漏洞,有可能被人截取,但卻是現時唯一途徑。通過手機、短訊、電郵通知你,認為這是現時最好的做法,客戶無須每天檢查戶口狀況,銀行能夠提供協助
  • (在外國)每遺失一項資料,都要被罰款,可能每項200、300或500元,若外洩20萬個客戶資料,罰款可以十分驚人
  • 若在外國發生資料外洩,行政管理人員會被判處入獄,並不是公開道歉、鞠躬便能了事
  • 認為現時資料加密技術已經相當成熟,再沒有藉口做不到

資訊保安業界

魏滿恩
(高威電信技術總監)

  • 表示商戶要做好網路保安,困難不大,但要針對公司的營運模式來處理
  • 小心儲存並不是難事,最基本要避免資料外洩,只須加密信息便可,現時亦有技術變亂數據的排列,即使別人取得這些資料,也不知道其中的排列關係
  • 現時的儲存裝置進行資料加密時,不難發現會引申不尋常的儲存讀寫,這已是一個警告
  • 他們最少要有適當備份、加密敏感資料,並作適當的監察,以避免問題出現

其他資料:

縱橫遊數據系統被入侵的情況

  • 11月初,旅行社縱橫遊的數據系統被黑客入侵,估計洩漏了20萬名顧客資料。當中10%有信用卡資料,部分更包括信用卡背面的保安編碼,黑客要求價值7位數字港元的比特幣贖金,才願意為這些資料解鎖。
  • 雖然警方在3日之內,成功把被黑客鎖上的資料庫解鎖,暫時未有跡象顯示客戶資料曾被轉售,但事件引起大眾擔憂,商戶有否妥善儲存市民的個人敏感資料
  • 被非法存取的資料,包括信用卡背後的保安編碼,通常是3位或4位數字,用作網絡交易的安全特徵,證實付款人在交易期間擁有信用卡,防止欺詐
  • 這次黑客利用 BitLocker 封鎖客戶資料有別於今年肆虐全球的黑客軟件 WannaCry。BitLocker 只是視窗內置的加密軟件,並非新型電腦病毒或程式

縱橫遊就黑客入侵的聲明

  • 「本公司發現,有未經授權人士於2017年11月6日存取我們的系統內本集團的客戶數據庫。受影響的數據庫內載有我們客戶的資料,當中可能包括姓名、身分證號碼、護照號碼、電話號碼、電郵地址、信用卡資料、郵遞地址及╱或購買記錄」
  • 「發現事件後,我們即時展開徹底調查,包括全面檢查受影響的系統。完成調查後,我們將為系統實行適級,以抵擋以後任何攻擊。我們亦已就該事件向香港警察報案,並會協助調查」
  • 「我們正在聯絡每位可能受影響的客戶,本公司對事件深表遺憾,並向受影響客戶致歉。我們承諾保護客戶的資料和私隱,將繼續加強系統保安,確保日後不會再發生同類事件」

《個人資料(私隱)條例》有關客戶資料外洩的條例

  • 即使企業不慎引致客戶資料外洩,初犯者可能只會收到私隱專員發出的執行通知,要求採取補救措施
  1. 賴灼東認為縱橫遊處理客戶資料時存在甚麼漏洞?這會帶來什麼影響?
  2. 根據節目內容,商戶可以如何保障客戶的資料?試舉兩個例子。
  3. 「對企業而言,加密客戶資料是利多於弊。」你在多大程度同意以上說法?解釋你的答案。
  4. 賴灼東認為《個人資料私隱條例》對商戶來說阻嚇力低,你多大程度上同意他的看法?解釋你的答案。
  5. 根據資料及就你所知,政府、商戶、市民應如何保護個人資料避免外洩?
(00:00) - 袁振寧交代客戶資料庫被黑客入侵的經過以及詳情
(01:19) - 賴灼東批評縱橫遊的網絡安全不足
(01:41) - 賴灼東指縱橫遊不應儲存客戶的信用卡保安編碼
(02:14) - 賴灼東指雙重認證功能雖有漏洞,但仍能保障網上消費安全
(03:13) - 魏滿恩指商戶只須加密信息便能避免資料外洩
(04:45) - 賴灼東指資料外洩在國外是嚴重罪行
昔日節目
2018-12-18

視點31 - 中國模式與華為冒起

電訊業發展一日千里,中國已開始發展5G技術,在北京街頭已開始出現5G基站。早前的華為孟晚舟被補事件折射了中國在國際...

2018-11-20

視點31 - 醫療美容安唔安全?

本港規定凡涉及注射的手術都屬於醫療程序,須由註冊醫生進行,否則屬違法。現時香港的醫療美容市場龐大,吸引不少普通科醫...

2018-11-06

視點31 - 開放數據不開放?

香港政府近年大力推行智慧城市,2017年施政報告提出投放7億元,推展多項發展智慧城市的基建,例如智慧燈柱、智能咪錶...

2018-10-30

視點31 - 「土地共享」七問

2018年施政報告中,特首提出「土地共享先導計劃」,旨在「釋放」和「共享」發展商擁有的過千公頃新界農地。為何有私人...

2018-10-09

視點31 - 鼠禍因由

黃大仙彩雲邨爆出全球首宗老鼠傳人的戊型肝炎個案,揭示了香港鼠患滅不盡的嚴重後果。香港有不少街鼠活躍的區域,不論公眾...

版權聲明 | 會員使用條款 | 私隱政策 | 免責聲明 | 無障礙網頁 | 回應及意見 | 關於我們 |
Copyright © 2019 eTVonline. 版權所有 不得轉載