日前有網上平台揭發香港郵政以電郵通知部份用戶,指他們的帳戶電郵受到外洩而未有對外公佈。直到傳媒向私隱專員公署查詢,才獲確認有未經授權人士利用香港郵政的電子服務功能,「碰巧取得」7200多個帳戶持有人的電郵地址。
香港郵政今次應對資料外洩的表現實屬可圈可點。在發現事件當日香港郵政就立即透過電郵通知被影響的用戶,並非執法單位和權威機構進行備案,都有助阻止事態進一步惡化,並控制因此使用戶對商譽的影響。然而,香港郵政未有將事件對外公佈,僅對用戶或相關機構「交代」,使到公眾和用戶都難以求證事件的真偽和細節,考慮到網上實在太多「你的帳戶將被停用」和「你的帳戶出現異常」的騙案,用戶在難以求證下將其視為騙案而無視,進而影響網絡保安的成效也不足為奇。
有趣的是,政府公佈的資訊指出事件源於有人「多次嘗試和猜測」香港郵政帳戶持有人的登記電郵地址。現代普遍的網站和系統,都對登入人士輸入次料的次數設有限制,目的就是制止有人無限制的「撞密碼」。又或者加入一個每次不同的一次性代碼認證,都能夠有效地增加「白撞」人士的時間成本。這些都是現今相當常見的功能,而香港郵政似乎兩者皆無,到底背後的保安機制有多落後?可能要等相關的調查報告結果才能知道…
________________ 立即與專家團隊聯網檢視企業的網絡安全策略 WEBSITE:https://www.avant-i.com.hk/ FB: https://www.facebook.com/AVANTHONGKONG Youtube: https://www.youtube.com/channel/UCeMYgqZUZTfRftm1xyeVTRw LinkedIn: https://linkedin.com/@AVANT-Innovations-Ltd. Tel: 2177 1177 Email: marketing@avant-i.com.hk
Commentaires