LINE Friends Run 報名網頁外洩參賽者私隱　專家：低級保安漏洞

下月初舉行的「LINE Friends Run 2018 HONG KONG」大型跑步活動的網頁登記系統，懷疑出現保安漏洞，令不少參賽者個人資料外洩，如身份證號碼首5個數字、電話及住宅地址等。
主辦單位創意及製作集團有限公司傍晚發公布，承認出現系統故障，但稱無任何客戶信用卡資料和敏感資料遭到洩漏。個人資料私隱專員公署私隱公署回覆指已決定主動就事件展開循規審查。
資訊科技專家方保僑分析，網頁的保安漏洞屬低級錯誤，疑與網頁檔案設定出錯有關，形容：「就好似你屋企俾人爆格，因為你無鎖好道門。」

「LINE Friends Run 2018 HONG KONG」大型跑步運動將於下月2日，於中環大會堂外空地及龍和道舉行，前日至昨（8日），率先接受工銀亞洲指定信用卡客戶網上報名；今日起至下周三（14日）則接受公眾報名。

不過，應用程式開發公司「RedSo」今午在社交平台發布帖文指，該網上報名系統疑外洩不少參賽者資料，可見到申請者的地址、電話、身份證號碼首5個數字等，當時系統已停止運作。

「RedSo」公司合夥人Louis接受《香港01》查詢時指，早上11時打算到網上報名參賽，豈料網頁未能運作，更發現以另一網址可以檢視部份參賽者的個人資料，於是在社交平台發布帖文，提醒已報名參賽者關注網頁的保安漏洞。

《香港01》向主辦單位創意及製作集團有限公司，暫未獲回覆，顧客熱線的留言信箱已爆滿。記者下午約三時成功登入報名系統，現已恢復運作。

科技專家：保安漏洞屬低級錯誤

資訊科技專家方保僑分析，網頁的保安漏洞屬低級錯誤，因網頁設計時會預先設定檔案屬性，而處理參賽者私人資料的檔案理應設定為「隱藏」，或將其放置於另一個伺服器，以保障資料不會外洩。

不過，他懷疑公司錯誤設定為「公開」，故只要有市民無意更改報名網址，就可發現網頁儲存參賽者的報名資料。他形容，「就好似你屋企俾人爆格，因為你無鎖好道門。」方說，相信只要裝頁更改好設定，就可以解決有關保安問題。

確認今早系統曾出現故障

主辦單位於晚上發放最新消息，確認今早系統曾出現故障，因此即時停止報名系統，進行緊急安全檢查、修復及鞏固，並確認無任何客戶信用卡資料和敏感資料遭到洩漏。現時系統故障現修復鞏固，可以繼續正常報名，主辦單位對受影響的公眾及引起大眾關注，表示「非常抱歉」。

私隱專員關注事件　決定主動展開循規審查

私隱專員黃繼兒對事件表示關注，尤其當中涉及參賽者的個人資料（包括姓名、住址、部份身份證號碼、電話號碼、出生日期、電郵等），但公署迄今未有收到相關的資料外洩事故通報，但已決定主動就事件展開循規審查。

黃繼兒指，機構必須採取有效的保安措施妥善保障活動參與者的個人資料，若聘用外判服務供應商（作為資料處理者），機構仍須採取合約規範方法或其他方法，以防止個人資料未獲准許或意外地被查閱、處理或使用，否則便有可能違反《私隱條例》下的資料保安原則。