【除夕大抽獎】電郵設定兩漏洞變「垃圾」 旅發局聘獨立顧問檢討

撰文:鄭秋玲
出版:更新:

香港旅遊發展局於2019除夕夜舉辦歷來首次倒數大抽獎,但期間參加系統出現問題。旅遊發展局總幹事程鼎一今日(4日)透露,是由於技術問題導致參加者無法收取驗證碼,電郵供應商誤以為是垃圾郵件,出現大量驗證碼延誤,現已聘請獨立顧問公司全面檢討,如董事會及政府認為有人需就事件負責會跟進。
其中就變成垃圾郵件,有專家透露,發現系統在發出電郵步驟上有兩步漏洞,屬於電郵供應的常識。有專家指出,當局臨陣將SMS短訊形式改為用電郵接收驗證碼,其實都是要面對無法短時間內海量傳送的問題,不解為何須設置驗證碼。

+2

廣寄電郵需三個設定 互聯網供應商:屬常識

互聯網服務供應商協會主席葉旭暉表示,廣寄電郵有三個設定作為憑證,可減少被電郵供應商封鎖或當成垃圾郵件的風險:第一步是設置SPS提供IP位址;第二步設置DKIM簽署功能,透過域名系統發布;以首兩步為基礎,第三步是設定DMARC,讓電郵供應商在出現問題時聯絡到發布者。不過據資料顯示,旅發局的驗證碼電郵系統未有設置最後兩步,結果大量電郵被當成垃圾郵件。

葉旭暉表示,電郵供應商不會容許發布者一秒鐘內寄出大量郵件,做足該三步設定,不等於不會被電郵供應商阻截,但提供足夠憑證,會被視為可靠的發布者,有助減低風險,屬電郵供應的常識。他指,在相關政策上,Google比雅虎更嚴謹,應在測試階段涵蓋電郵系統負荷問題,便會知道什麼數目程度會觸動到電郵供應商。

方保僑指出,資料顯示旅發局的驗證碼電郵無提供足夠憑證,結果被電郵供應商當成垃圾郵件。(網頁截圖)

方保僑指錯在設驗證碼:係多餘

香港資訊科技商會榮譽會長方保僑形容延誤事故是「火燒連環船」,指當局在臨開波時,將手機接收SMS認證短訊改為以電郵收取,料是考慮到SMS中心每秒傳送有上限,但其實短時間內大量發送電郵,伺服器亦需要排隊處理,更因技術上的認證問題被當成垃圾電郵,甚至被封鎖。他認為,既然最後都是須由得獎者親身領獎,亦有個人身分證為依據,「係唔需要驗證碼,係多餘。」事件亦令人質疑當局是否懂得制定對承辦商的要求及監督能力。

旅發局總幹事:進入網頁壓力測試無出現問題​

旅發局總幹事程鼎一今日(4日)在電台節目上解釋,在網站壓力測試時,假設每分鐘有300萬人次進入都無出現問題,但由於活動需要電郵驗證碼,短時間內大量收發電郵,被電郵供應商誤以為是垃圾郵件。他強調,所有收集資料均加密儲存在新加坡一間著名供應商的雲端。系統供應商今日(4日)亦向公眾致歉,指程式由測試伺服器搬遷到上線伺服器出現技術問題,以及短時間內的電郵認證超出收發容量限制,引致抽獎活動延誤。