消委會放工被黑客入侵　翌早返工始知　外洩資料待「撕票」始確實

繼數碼港日前被黑客入侵後，消費者委員會亦有電腦系統被黑客入侵及勒索。消委會今（22日）在記者會表示調查事件後發現，黑客早於9月19日約傍晚6時入侵電腦系統，歷時7小時。到9月20日早上，員工上班工作時發現系統未能如常使用，始揭發事件，即被入侵半日後才發現，至周四（21日）早上報警備案。

對於為何一日後才報警，消委會主席陳錦榮反駁：「報啲乜嘢呢？我想問你啲乜嘢呢頭一個鐘頭？你自己都唔知個系統有咩問題。」他強調，過去48小時已採取適當行動。消費者委員會總幹事黃鳳嫺指，現時很難追查外洩資料，可能要等待被「撕票」時，才了解哪些資料被外洩。

陳錦榮表示，事發後已與鑑證專家全力檢查系統，確認在被入侵的7個多小時內，系統的數據流量較正常多出65GB，但是否涉及個人資料外洩，以及其覆蓋範圍仍在調查中。

至於受影響的人士，陳錦榮指主要涉以下四種：

1. 員工、前員工及其家屬，以及求職者的資料，如身份證號碼、住址、出生日期和履歷；
2. 《選擇》月刊訂戶資料，當中包括約8,000名曾向消委會提供信用卡資料的訂戶；
3. 消費投訴人士的資料，然而因為投訴處理系統獨立運作的系統，經檢查後確定運作大致正常；
4. 消委會會的合作夥伴，保存的資料包括公司地址、電話、電郵，部分或存有手機號碼。

陳錦榮表示，上述四類的人士未必全都受影響，有部份人的資料或沒有外洩，但難以估計實際人數。消委會總幹事黃鳳嫺表示，或需在黑客「撕票」才會知悉具體外洩資料。

至於存放了多少履歷表、前員工資料，黃鳳嫺指，求職者的資料會保存兩年，形容「好短好短」；員工則會保留七年。

黑客要求消委會於9月23日約晚上11時20分前繳交50萬美元。陳錦榮強調，消委會不會提交「贖金」。問到是否只可靜待「撕票」，黃鳳嫺表示，以現今技術而言，並沒有鑑證方法得知涉及了甚麼資料，「細節真係唔知道」。不過她強調，並非無事可做，已透過風險評估四大類可能受影響的人士，再盡量通知，亦正在修復系統。

陳錦榮表示，事件不涉員工個人誤點釣魚網站犯錯，而是網絡安全問題。至於對上一次何時更新系統，黃鳳嫺表示，有制定政策定期更新不同系統，例如每五年更換電郵伺服器。她表示，有預留金錢更換系統，「就算唔係最快，但肯定係根據市場一貫最佳作業模式去處理更新」。

黃鳳嫺稱花不少資源仍然難以「槍彈不入」

黃鳳嫺形容，現時黑客技術無恐不入，即使花費不少資源，仍然難以「bulletproof（槍彈不入）」，假如黑客不斷蓄意攻擊，都防不勝防。

回應隔一日始報警　陳錦榮：自己都唔知個系統有咩問題報啲乜嘢呢？

不過今次發現事件後，消委會並未即時報警。陳錦榮表示，過去48小時已採取適當行動，但報警前需先調查，「報啲乜嘢呢？我想問你啲乜嘢呢頭一個鐘頭？你自己都唔知個系統有咩問題。」