網絡世界充斥敏感個人資料,資料外洩或許「防不勝防」!香港偵探總會發現,有公營機構員工以其工作電郵,用作登記網上私人帳戶,並用作網購等,致有關電郵及密碼在「暗網(Deep Web)」流竄,只需透過暗網專用的搜尋軟件便可將有關資料一覽無遺。涉事機構包括警方、金管局及醫管局,共涉逾1千個工作電郵,本報向3間機構查詢有關情況,均表示並無證據顯示內部系統因而遭到入侵。
香港偵探總會發現工作電郵等敏感資料在暗網流竄,圖為創會會長何國光。(林俊源攝)
有別於市民常用的如Google及Yahoo等搜尋軟件,暗網需以特殊軟件、特殊授權或對電腦的特殊設定才能登上的網絡,使用一般瀏覽器和搜尋引擎無法找到暗網內容。香港偵探總會資訊科技顧問張鎮輝早前透過暗網的特定搜尋軟件,發現3個機構的員工以工作電郵來登記作開立個人帳戶之用,連帶有關帳戶的密碼亦可知悉。他估計醫管局涉及約1千個電郵受影響、警方則有約200個,以及金管局涉約160個,惟張承認該些資料在暗網流竄後,已無法刪除。
本報隨機抽取數個工作電郵及密碼供這3間機構核實,了解這些電郵是否仍在運作,以及密碼是否與工作電郵帳戶相符。涉及較多電郵流出的醫管局只稱,其電郵系統和伺服器設有多層網絡安全保障,系統和伺服器近日均運作正常,亦無發現任何異常紀錄,暫無證據顯示資料曾經外洩。
警方發言人稱,早前已知悉有關網頁所列出的警方電郵地址為公眾可獲取的資料,並無證據顯示有任何警隊電郵系統密碼外洩或電郵系統被入侵。警隊亦一直有清晰的資訊保安內部指引,而新入職及在職人員均會定期接受相關的課程和訓練。
金管局:部分電郵不存在
金管局則稱,部分電郵帳戶並不存在,亦有部分為已關閉的電郵戶口。該局補充,員工的電郵地址是用於與外界溝通,並非所謂內部資料。而即使通過其他渠道取得電郵地址和相關資料,亦不等同可以借此登入該局的電郵系統。
香港偵探總會創會會長何國光稱,每年接獲少於10宗客戶的資料外洩求助,部分源於從暗網外洩。面對公營機構也中招,電腦保安資源不足的中小企可如何自保?張鎮輝建議,中小企可為其電郵系統外購服務,採用雙重認證,除了以密碼登入外,更要以手機短訊等來確認身份。如有發現電郵系統有異常情況,則要更改密碼。
