香港寬頻伺服器遭入侵 洩38萬客資料
發布時間: 2018/04/19 00:14
最後更新: 2018/04/19 00:14
香港寬頻疑被黑客入侵伺服器,盜取38萬名客戶資料,涉及約4.3萬條信用卡資料,以及電話號碼、身份證號碼等。該集團指已報警,並會進行調查。
集團稱涉事信用卡已過期,影響較低,惟有網絡保安專家提醒,續期後的信用卡號碼會保留,故用戶須留意有可出現可疑交易,亦須提防假冒香港寬頻人員的傳銷來電。
香港寬頻發公告,指於本周一例行檢查時,發現一個存有已停用資料庫的伺服器被一未知方入侵,該資料庫有截至2012年、約38萬條固定及IDD服務客戶及申請人紀錄,約佔整體360萬條客戶紀錄的11%,包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼及約4.3萬條信用卡資料。集團於前晚9時報案,及通知個人資料私隱專員。
集團發言人指,會盡快以發信、電郵及SMS通知受影響的客戶,因事件涉及已停用資料,準備聯絡銀行,尋找未能找上的舊客戶。
發言人指,客戶在結束合約後,資料會在客服系統儲存半年,再存於內部封存資料庫,按稅局規定儲存7年,一般員工不能接觸。雖涉及信用卡資料,但他們沒儲存信用卡背後的CVC號碼,加上涉事信用卡經已過期,相信影響性較低。
他強調,作為電訊公司多用上高規格的網絡保安措施,形容今次是「非一般Hacking(入侵)」,至今未收到黑客勒索電郵,亦未見資料被使用;又強調過往未曾發生同類事件,惟未透露其網路檢測的頻率。
香港寬頻持股管理人及行政總裁楊主光,以及持股管理人及營運總裁黎汝傑向受影響客戶致歉,指會防範事件再發生。客戶可致電專綫3616 9111查詢。
警方指已接獲報案,由網絡安全及科技罪案調查科跟進調查。個人資料私隱專員公署指已主動展開循規審查,並指《私隱條例》沒指明資料使用者保留個人資料的期限,機構應按業務需要、符合公眾利益等決定保存期限。一般而言,機構在交易完成後,可保留紀錄7年。
香港資訊科技商會資訊保安召集人范健文認為,停用的資料庫應由互聯網抽離,且加密處理,又指企業須至少每季度為網絡系統進行安全掃瞄。他認為如客人已終止合約,其個人資料應被銷毀。此外,被盜的資料包括電話號碼,他提醒,用戶須留意會否有偽冒香港寬頻的人員來電,以更新資料為由索取個人資料。范又指,信用卡續期後,號碼亦會一樣,故用戶不能忽視,宜啟用交易短訊通知功能,留意有沒有可疑交易,避免以高信用額的卡在網上購物。