縱橫遊2萬客卡資料被盜 專家籲cut卡
發布時間: 2017/11/09 07:45
縱橫遊本周一(6日)被黑客入侵電腦系統,負責人昨日現身交代有20萬客戶資料被鎖上及存取,當中2萬人的信用卡資料被奪,且部分包括可讓匪徒隨時過數的CVC或CVV安全驗證碼。
縱橫遊負責人向受影響客戶鞠躬致歉,呼籲盡快更換信用卡資料。有資訊保安專家忠告,曾於縱橫遊以信用卡付款的消費者,最好立即「cut卡」,保障自己。
縱橫遊行政總裁兼執行董事袁振寧事隔兩日後召開記者會交代事件。他表示,本周一早上未能登入公司電腦系統,並收到黑客的勒索電郵聲稱已存取客戶的資料庫,並要求支付7位數字的比特幣贖金解鎖,而他一度想付贖金,但由於黑客不可信及不應㰻吹網上罪行,跟董事局商量後決定報警。
經初步評估,縱橫遊相信約20萬客戶資料受影響,當中一成、即兩萬人的信用卡資料被奪,部分更包括卡後的CVC或CVV安全驗證碼。
袁振寧又表示,公司一般會保存客戶的姓名、電郵及出生日期等非敏感資料3年,而信用卡資料、護照及身份證號碼的敏感性資料則會保存一年。他表示會盡快通知受影響客戶,又呼籲他們盡速更換信用卡資料;至於會否推出補救優惠,他稱首要通知受影響客戶,但暫未收到任何損失報告。
資訊科技商會資訊保安召集人范健文呼籲,所有曾於縱橫遊以信用卡付款的客戶,應先「cut 卡」以策安全。他指,不知道黑客儲存了多少資料,但縱橫遊亦承認有儲蓄CVC及信用卡號碼等,黑客可用這些資料進行購物,尤其是沒有啟用雙重認證的客戶,更為危險。
他解釋,啟用雙重認證,消費者於網上購物時,必須回答Visa、Mastercard的問題才能付款,交易後亦會發送短訊通知消費者,若然有消費者發現信用卡有可疑交易,建議向所屬銀行求助,凍結該筆交易,銀行亦會徹查事件,如身在香港,交易於外國進行,已是很好證明。
另外,袁振寧形容,黑客入侵方法較罕見,不是WannaCry或常見軟件入侵;被問及客戶資料有否加密,袁振寧未有正面回應,只稱有使用防火牆。
范健文指出,防火牆屬較低層次的保護,有別於加密,他形容防火牆猶如電腦系統的「看更」,若黑客成功入侵,只要檔案有加密,打開都只會是亂碼,保障程度更高。他又指,加密成本不高,一般上市公司應該要做。
但袁振寧稱,公司今年初上市前曾找第三者檢視其客人資料庫,符合上市規例,今次事件後已找了兩間資訊科技公司羅兵咸永道風險及控制服務與Kroll復修資料庫,希望做到ISO國際標準,避免同類事件再發生。
袁振寧又強調,即使最終無法解鎖,亦不會向黑客支付贖金,以人手重新輸入客戶以白紙黑字存檔的資料。
至於會否影響出團?縱橫遊稱已報團的旅客不受影響,可以如期出發,但新客報團則需改由人手操作;如有客戶要求退團亦會酌情處理。袁振寧暫不評估事件造成的損失,又指部分系統已經被搶修,希望本月內可重開網站。