Games Animation Forum

返回   Games Animation Forum > 其他 > ~清談館~

回覆
 
主題工具 顯示模式
舊 10-25-18, 06:47 AM   #1
david
The One
 
註冊日期: Mar 2002
文章: 20,716
[面書化] 國泰洩940萬客私隱 涉護照 身份證 信用卡資料 事隔7個月始公佈 | 環聯漏洞令客戶資料任睇

國泰洩940萬客私隱
涉護照 身份證 信用卡資料 事隔7個月始公佈

引用:


國泰(293)驚爆香港史上最大宗資料外洩事件。集團昨晚發公告,指國泰及國泰港龍航空有約940萬名乘客的資料曾被不當取覽,當中包括乘客身份證號碼、護照號碼等重要個人資料。集團在今年3月發現其資料系統有可疑活動,5月初確認有資料被盜,惟公司至今才公佈,有議員炮轟國泰延遲對外公佈,形容是次事件相當嚴重。

國泰昨晚約10時公佈,受到未獲授權取覽的個人資料包括乘客姓名、國籍、出生日期、電話號碼、電郵及實際地址、護照號碼、身份證號碼、飛行常客計劃會員號碼、顧客服務備註及過往的飛行紀錄資料,涉及多個地區的國泰及國泰港龍航空合共約940萬名乘客。

集團表示,公司今年3月首次在其系統發現可疑活動,發現事件後,已即時採取行動阻止事件發展,及由一間網絡安全公司協助下,展開全面調查,並於今年5月初確認個人資料曾被未獲授權取覽,此後一直緊密分析相關資料,以盡快識別受影響人士及確認資料可否被重組。公司現正聯絡受影響乘客,並已通報香港警務處及正通報有關當局。

稱無密碼外洩

本報就國泰為何事隔7個月才公佈事件向國泰查詢,至截稿前未有回覆。公告又指,有403張已逾期的信用卡號碼及27張無安全碼的信用卡號碼曾被不當取閱,每名受影響乘客被不當取覽的資料有所不同;另有約86萬個護照號碼及24.5萬個香港身份證號碼曾被不當取覽。國泰強調,現階段並無證據顯示任何個人資料曾被不當動用,同時沒有任何乘客的旅行及常客計劃資料被全部取覽,亦沒有任何密碼外洩。

國泰航空行政總裁何杲表示,對是次事件為乘客帶來的憂慮深表歉意,公司已即時採取行動阻止事件發展,正透過不同途徑聯絡受影響乘客,並向他們提供保障個人資料的建議及步驟。他重申,沒證據顯示任何個人資料曾被不當動用。受影響的資訊系統與航班運作系統為獨立的系統,事件不會對航班安全構成任何影響。

國泰昨晚發新聞稿指,已設立專屬網站處理事件,另設顧客專線讓乘客查詢,不過,有關專線要待今日香港時間下午12時30分起才啟用。如任何顧客認為可能受是次事件影響,可透過以下途徑與國泰航空聯絡:瀏覽專屬網頁 http://infosecurity.cathaypacific.com ,可於網站上獲得有關事件的資訊及保障個人資料建議;網頁內設36個地區顧客專線,包括香港、中國、日本、英國等地區,香港專線為800 933 287;另可發送查詢電郵至infosecurity@cathaypacific.com
CX:對比起FB,我呢單碎料O黎啦。
私穩公署:咩事?有O的咁O既事咩?我乜都唔知...
777:唔評論個別事件。

<- 我最近幾次都係搭佢,我應該中招...


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300

此篇文章於 11-29-18 02:11 PM 被 david 編輯。
david 目前離線   回覆時引用此篇文章
舊 10-26-18, 08:16 AM   #2
david
The One
 
註冊日期: Mar 2002
文章: 20,716
洩私隱瞞足7個月 國泰狡辯:免惹恐慌 面臨歐盟罰款39億

引用:
國泰爆出歷來最災難性洩露客戶私隱醜聞,今年3月發現資料系統有可疑活動,5月初確認有資料被盜,卻延報7個月,至前晚才公佈,全城譁然。國泰否認隱瞞,稱至今才公佈是因需時了解並調查事件,以免製造無謂恐慌。國泰行政總裁何杲拍攝短片就事件兩度向客戶致歉。有法律界人士指,今次事件或已觸犯歐盟《通用數據保障條例》,國泰或要面臨被重罰39億港元,相當於國泰現時市值的一成。






被洩漏的940萬位國泰及港龍乘客資料,包括姓名、國籍、出生日期、電話號碼、電郵、地址、護照號碼、身份證號碼、亞洲萬里通會員號碼、旅行紀錄等,其中涉及護照號碼86萬個、香港身份證號碼24.5萬個。





國泰航空顧客及商務總裁盧家培昨接受電台訪問時稱,國泰今年3月在網絡日常保安檢查發現資料出現問題,經調查後,5月證實有乘客資料被不當取覽。他解釋當時只看到事件端倪,故未有即時通報,「我哋採取嘅辦法係唔好倉卒,以免製造無謂恐慌」。他就事件令不少乘客擔心致歉,「感到抱歉,但完全冇隱瞞」。




仍未向警交代詳情及原因

盧指受影響客戶會收到個人化通知,強調無亞洲萬里通和馬可勃羅會員密碼受影響;而430張洩漏的信用卡資料中,403張已過期,餘下27張無整套完整資料,故無財務資料被盜用。國泰已向警方及相關當局報案。




國泰行政總裁何杲昨晚拍攝約1分39秒短片,兩度就事件向客戶致歉,「對因是次事件可帶來的憂慮深表歉意」,強調未有證據顯示任何人資料曾被不當動用,並會向受影響乘客提供12個月的免費信息身份監察服務及加強資訊保安。




今次國泰外洩940萬客戶資料,或已觸犯歐盟的《通用數據保障條例》(GDPR),法政匯思成員蔡騏向本報表示,根據GDPR第33條,相關機構出事後72小時要作出通報,而國泰延遲6個月才公佈事件,估計國泰可能違反GDPR規定。他指由於GDPR今年5月25日實施,國泰今年3月發現資料外洩,5月初確認,若國泰5月25日後仍有資料外洩,並證明國泰有提供服務予歐盟居民,今次事件將受GDPR規管。




根據GDPR規定,歐盟可向違規企業徵收年度全球總營業額2%或4%為罰款,若按國泰去年總收入972億元計,最多可被罰總收入的4%,相當於39億元,是國泰最新市值約420億元的一成。




警方表示,接獲相關報案,案件暫列「有犯罪或不誠實意圖而取用電腦」,交由網絡安全及科技罪案調查科跟進,暫無人被捕。據悉,國泰前晚報警,昨早國泰有負責資訊科技部門的高層人員落口供,但並無詳細交代資料外洩詳情及原因,只稱會委託網絡保安公司再向警方交代。消息指,警方日內會主動與國泰相關人員聯絡,以跟進調查。




港無法例規管須何時通報

個人資料私隱專員黃繼兒表示,公署非常關注事件,指國泰事發6個月後才公佈,公署都是本周三晚才知悉事件,很難接受,會展開循規審查。他承認現時本港法例並無規管企業要何時通報這類事故,只是靠業界自願公佈。




多名立法會議員對國泰處理手法表示憤怒,最近才搭過國泰的民主黨尹兆堅批評,國泰今次處理事件手法極度惡劣,嚴重違反消費者私隱,聲明中完全無交代會如何承擔責任,「唔怪得之國泰近年有個花名叫『因航』,管理不善好似係國泰近年現況」。
CX:SOR佐啦,起碼好過班羔官一句SOR都唔會講,仲想點?


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 10-26-18, 08:31 AM   #3
david
The One
 
註冊日期: Mar 2002
文章: 20,716
熱線逾半小時冇人聽 客戶:一句道歉都無

引用:
國泰因應乘客個人資料大規模外洩事件,開設電話熱線供旅客查詢有否受影響。根據國泰就事件特別開設的「資料安全事件」官網專頁,國泰就事件總共為36個不同國家或地區提供熱線查詢服務,電話熱線今午12時半開始運作,不過,《蘋果》記者約12時40分嘗試致電香港熱線,等待超過35分鐘仍未接通,等候期間熱線只不斷播放錄音,「多謝閣下耐心等候,你嘅電話將被接通」、「對唔住,而家線路繁忙,請稍等,你嘅電話將被接通」。本身是國泰客戶的民主黨立法會議員尹兆堅亦表示,今日曾致電國泰的查詢熱線,但等候廿多分鐘仍未接通,對此十分憤怒。

根據國泰就資料外洩事件網頁資料,若受影響乘客的信用卡資料在事件中曾被不當讀取閱覽,國泰將直接與受乘客聯絡,並建議涉事乘客,向銀行或信用卡公司查詢對策。網頁又指,國泰將在適用地區向受影響的乘客提供身份監察服務,該服務將會監察服影響旅客資料,會否出現於公共網站、聊天室、博客,以及如暗網(dark website)等,可能造成資料洩漏的非公開網絡平台。




有國泰客戶向本報投訴,指國泰沒有就事件主動聯絡及告知最新進展,「要個客主動上佢個網填online form佢先會覆email;個email話我知,基本上我所有個人資料都被取用,但竟然可以一句道歉都無!」




乘搭國泰超過20年的鍾先生則表示,現時很多騙案,擔心資料會被用作非法用途。他不滿國泰太遲公佈,「科技咁發達,你遲一日都覺佢慢」,批評國泰近年服務每況愈下,未來或會減少選搭國泰。他又指,近日經常有個人資料事件,「連『轉數快』都咁大獲」,希望政府能做好保安的跟進工作。




乘搭國泰多年的乘客吳先生稱,很驚訝發生此事,想不到這麼大間航空公司竟然會岀現資料洩露事件,又指今早已經立即更改戶口密碼。他認為國泰應該立即提升保安意識和系統,「事後都應該畀啲交待我哋」。乘客何先生認為,國泰要檢討一下,知道資料有洩露便應立即通知受影響客戶,現時處理手法有待改善。

CX:咪口頭SOR佐落,仲想貪得無厭要文字上SOR多次俾位你入?咪傻啦。


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300

此篇文章於 10-26-18 08:34 AM 被 david 編輯。
david 目前離線   回覆時引用此篇文章
舊 10-26-18, 09:40 AM   #4
Thaws
God of Gamer
 
註冊日期: Oct 2003
文章: 8,345
PSN  IDThaws
XBox Live Gamertagthaws
仲要係今年5月出事, GDPR生效左CX呢鑊傑:0)
由手機版發出
Thaws 目前離線   回覆時引用此篇文章
舊 10-29-18, 06:17 AM   #5
david
The One
 
註冊日期: Mar 2002
文章: 20,716
英律師樓擬提集體索償 料每人追討1.5萬港元

引用:
國泰航空隱瞞7個月始自爆洩露940萬名客戶私隱,是否會被歐盟罰巨款成為外界焦點。一間英國律師樓擬採取集體法律行動,認為受害乘客可以歐盟的《通用數據保障條例》(GDPR)向國泰追討賠償。該律師樓稱,每人可按個人情況,追討1,500英鎊(1.5萬港元)賠償不等。


歐盟今年5月頒佈GDPR,外界揣測國泰或因今次事件而面臨多達39億元的巨額罰款,事後歐盟指,GDPR不能應用於條例生效前的資料外洩情況,意味國泰或可「逃過」罰款。不過,英國律師事務所SPG LAW在網頁指,國泰也是英國一間大公司,今次國泰情況更較上月英國航空洩露38萬張信用卡資料更嚴重,又指不少國泰乘客居於專制國家,其個人資料有風險落入政府手上,認為受害乘客有權以歐盟的GDPR向國泰申索。網頁指,估計每人可按個人情況,追討1,500英鎊(1.5萬港元)賠償不等。





《南華早報》則引述SPG LAW大律師Tom Goodhead認為,GDPR適用於國泰今次個案,因國泰早在3月已發現系統有不正常活動,但乘客在GDPR生效後才知悉事件,又稱預計將有數以萬計來自英國、香港、中國及美國的受害乘客提出申索。





不過,報道引述法政匯思召集人蔡騏指,GDPR未必適用於今次事件,因國泰在GDPR生效前已確認乘客資料被外洩。他說,港人可考慮以「感情受傷害」為由,引用《個人資料(私隱)條例》向國泰提出民事索償。





國泰回覆《蘋果》查詢時,表示不會回應有關律師樓行動。國泰強調,現時沒有證據顯示任何個人資料曾被作不當動用、沒有任何一位乘客的旅行及常客計劃資料被全部取覽,也沒有任何密碼外洩。國泰一再重申,會向受影響乘客提供身份監察服務。


CX:包纜訴訟唔係犯法咩?


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 10-30-18, 06:01 AM   #6
david
The One
 
註冊日期: Mar 2002
文章: 20,716
電子登機證爆漏洞 改幾隻字即睇其他乘客個人資料

引用:
繼日前國泰及英航爆出外洩客戶資料後,再有航空公司外洩乘客資料,香港航空最近修改了乘客領取電子登機證的網址,但該新網址卻出現嚴重漏洞,只要在網址末端修改幾個字元,便能查閱其他乘客的電子登機證,透過港航網站登入其他乘客的電子登機證,便能獲取該乘客的個人資料,有資訊科技專家表示港航有機會因而觸犯法例,應儘早找出補漏方案。

有港航乘客陳先生向本報透露,自己一直是港航的常客,每次都會透過短訊來獲取電子登機證的網址,他表示從前獲得的是隨機產生的短網址,但早前收到的是已經修改的長網址,只要更改網址末端「id=」後僅2個英文字母,便能夠查閱到其他乘客的電子登機證,包括QR Code、姓名、乘搭航班等資料,掃瞄QR Code後,便能獲取電子機票號碼。




本報嘗試隨機更改電子登機證網址的英文字母,發現出現不同乘客的電子登機證資料,只要在香港航空網站的「增值服務」一欄中,選取立即預訂「預付超額行李」,輸入電子機票號碼及姓名後,便能獲取該乘客的個人資料,包括出生日期、旅行證件號碼、證件有效期,部分亦會顯示電話號碼及電郵地址。此嚴重漏洞反映出只要獲得現時港航電子登機證的網址,就能夠輕易獲取他人的資料,陳先生對此表示詫異,「唔明點解航空公司會出現咁低級嘅錯誤,其實咁樣真係會有啲危險囉」。




香港資訊科技商會榮譽會長方保僑回應指,改制後令登機證資料可輕易被人查看,港航必須負責。方保僑認為,今次出現洩漏問題,他估計與該航空公司剛進行系統升級有關,「完全是一個非常之大的安全漏洞」,他指,一般情況下讓客人無須登入即可使用登機證,一般只應顯示最簡單資料如客人名稱、座位、航班編號等,但就不應讓任何使用者在未經登入的情況下,讓人有機會讀取更多個人資訊。
他續指,港航今次改制後出現嚴重漏洞,「已不是單單牽涉一個人的事」,該公司有機會觸犯《個人資料(私隱)條例》,該公司甚或要因而向當局通報;與近日國泰所爆出問題,同引致客人資料洩漏,認為港航應儘早找出補漏方案。而歐盟今年5月25日實施的《通用數據保障條例》,規定有關機構需要在72小時內通報,否則有可能被處嚴重罰則。
講寒:關我叉事咩?好明顯係O的HIHI不誠實使用電腦咋,好人好者點會無啦啦走去改網址?


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 10-30-18, 09:06 AM   #7
亍 ◣
 ◥ jaVaj
神的4小時
 
註冊日期: Dec 2001
文章: 42,080
炒IT狗o既後果


__________________

《唐韻》《集韻》丑玉切,音梀。小步也。左步爲彳,右步爲亍,合之則爲行字。又稍停也。
《左思•魏都賦》矞雲翔龍,澤馬亍阜。
《顏延之•赭白馬賦》纖驪接趾,秀騏齊亍。 
又《廣韻》中句切
音駐。義同。
亍 ◣ 目前離線   回覆時引用此篇文章
舊 10-30-18, 04:26 PM   #8
RPG之鬼
God of Gamer
 
註冊日期: Sep 2002
文章: 10,915
第一次買CX就中獎
到依家仲未收到佢地通知
呢啲真係良好用戶體驗


__________________
幸せそうな人達をみていると、自分も幸せな雰囲気になれるんですよ
RPG之鬼 目前離線   回覆時引用此篇文章
舊 10-31-18, 05:39 AM   #9
david
The One
 
註冊日期: Mar 2002
文章: 20,716
涉千萬乘客資料 梁君彥拒蔣麗芸提急切口頭質詢

引用:


國泰航空及港龍航空上周驚爆外洩近千萬名乘客的個人資料事件,民建聯立法會議員蔣麗芸提出於明日的立法會會議,因應事件作出急切口頭質詢,惟遭立法會主席梁君彥。

梁君彥今日回信表示,有關質詢與公眾有重大關係,但未至於必須於本周三立法會會議上提出,不符合「性質急切」的條件,建議考慮循其他途徑跟進事件,加上立法會相關的委員會,亦會於短期內召開聯席特別會議討論事件,故拒絕急切口頭質詢要求。




立法會政制事務委員會、資訊科技及廣播事務委員會及保安事務委員會,將於下月14日舉行聯席會議,討論國泰洩漏乘客個人資料事件。
煮食:叫佐你睇佐WHATSAPP先出聲O架啦,正一豬隊友O黎,你一查咁支那PAY O個邊點算?


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 11-06-18, 09:42 AM   #10
david
The One
 
註冊日期: Mar 2002
文章: 20,716
亞洲萬里通部份帳戶登入異常 顯示「密碼已更新」須重設

引用:
亞洲萬里通(Asia miles)有會員在傍晚6時許發現,無法用手機應用程式登入其帳戶,嘗試登入期間會顯示「登入逾時」,要求用家輸入電話號碼更新資料,更顯示帳戶密碼被更改,不能登入。《蘋果》接續嘗試,遇相同登入問題,須改用網頁版登入,並用手機認證及更改密碼,方成功登入。

亞洲萬里通回覆《蘋果》,指傍晚時分其手機應用程式曾出現輕微技術問題,在短時間內已恢復正常,又強調該公司有既定程序監察網絡系統,系統運作並無異常。




《蘋果》讀者張小姐今6時許報料,指她用亞洲萬里通手機app登入時,畫面顯示「登入逾時」,被要求輸入電話號碼認證,及後出現字句指密碼被更改。她憂心帳戶內的「里數」積分被盜,原料報警求助,但發現亞洲萬里通已電郵指示她更改密碼的步驟。她指改密碼後網頁版和手機app版均回復正常,帳戶無出現被盜用情況。




翻查資料,該公司全球會員人數去年已破1,000萬,香港會員亦至少逾200萬人,惟今年4月有客戶指,被盜取逾28萬飛行里數來換禮物,事主堅稱並無外洩個人資料,質疑是亞洲萬里通系統被黑客入侵所致。該公司亦曾於 2015年爆出黑客入侵事件,其保安系統屢為人詬病。
一不離二...

支那CAP水黨:ASIA MILES唔可以直接CAP錢比較麻煩...


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 11-06-18, 09:51 AM   #11
歌絲˙暮斯
The One
一擊格神
 
註冊日期: Feb 2003
文章: 21,203
PSN  IDKENZHAYA
Openrice app 有個綁匪綁定 asia mile 服務話可以儲多 d,女人叫我裝,我查下先知,阿里巴巴與四十大盜黎既喂。
由手機版發出
歌絲˙暮斯 目前離線   回覆時引用此篇文章
舊 11-09-18, 06:25 AM   #12
david
The One
 
註冊日期: Mar 2002
文章: 20,716
PayMe電郵失陷 滙豐20用戶損10萬
專家:疑國泰洩密後遺

引用:
儲值支付工具(Stored Value Facility,SVF)近日多番出現漏洞,全港逾100萬用戶使用的PayMe亦首次有用家因戶口被入侵而導致金錢損失。滙豐昨晚公佈,日前發現有用戶電郵賬戶被盜用,導致不法分子未經授權登入20個PayMe賬戶,盜走總金額約10萬元。據悉,不法分子控制賬戶後,以P2P方式將資金轉移至另一戶口。金融管理局即時要求滙豐跟進並提交報告。

滙豐昨晚10時半公佈該消息,指已經立即採取措施杜絕有關活動,並且主動聯絡受影響客戶,未經授權的交易將會獲得賠償;同時滙豐指已經報知警方及金管局,並與當局緊密合作調查事件。警方稱已接手調查。

接近滙豐消息人士稱,是次入侵PayMe行動,是用戶電郵戶口被盜而引起,而非PayMe出現系統性漏洞,相關問題並非以消費形式(P2M)將資金移走,而是疑以P2P形式將資金轉至另一戶口。

金管局要求交報告



滙豐指一向重視客戶資料安全,已就該事件採取一系列積極措施以保護客戶資料安全,強調PayMe系統仍然十分安全及沒有出現保安漏洞。早前PayMe向部份未有綁定身份證或滙豐信用卡的用戶,強制下月3日前必須綁定,否則不能將資金轉至朋友。

金管局發言人表示,獲悉事件後已即時要求滙豐跟進並提交報告,採取相應行動,保障客戶的賬戶安全,並檢視及改善PayMe的流程,避免同類問題再出現。




系統缺兩步驟驗證



香港資訊科技商會榮譽會長方保僑了解事件後稱,今次是黑客撞破PayMe用戶的電郵賬號後,直接接管其PayMe戶口,不排除是本地或廣東省黑客所為,亦指可能跟上次大規模洩密事件有關,矛頭直指國泰。

方保僑表示,PayMe更改密碼程序是登入賬戶後,選擇更改密碼,其電郵會收到一個連結,激活後可重選密碼,其間用戶不會收到短訊通知。導致洩密事件的關鍵是系統欠缺 「兩步驟驗證」,跟之前轉數快及早前PayMe用戶被亂綁信用卡一樣。

資訊科技界立法會議員莫乃光指單憑新聞稿簡單幾句,難評估事件嚴重性,用家亦不應聽兩句就覺得「好危險,以後唔好用啦」。他反而批評匯豐漏夜出新聞稿,「國泰(293)又係咁,佢哋(匯豐)又係咁,我真係唔明,咁樣會好啲咩?」

儲值支付工具漏洞接二連三,早前有儲值支付工具被發現在直接付款授權(DDA)時出現重大漏洞,令用戶銀行戶口資金被提走,其後用戶使用該功能時須強制雙重認證後才可開通。




CX:呢O的乜叉磚家無啦啦又入我數...

HXXC:唔關我事O架,我O地個系統係絕對安全,係用戶疏忽咋...

支:各大公司要繼續唔小心將客戶資料公諸同好,可以減少電話部O既支出


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 11-29-18, 02:09 PM   #13
david
The One
 
註冊日期: Mar 2002
文章: 20,716
環聯已報警 質疑明報取得林鄭資料 明報:資料已銷毀

引用:
對於《明報》報道環聯信貸的資料安全漏洞問題,記者於採訪過程中透過資料測試系統,獲取林鄭月娥的信貸資料。環聯的聲明指出,公司隨即對《明報》的指稱展開內部調查。環聯的初步調查顯示,有關記者獲取了極少數香港消費者的個人信貸報告,而這些信貸報告在違反香港法律的情況下被取閱,表示已經聯繫了執法機關,以進一步調查此事。環聯發言人向本報確認,已經就此事報警,暫未知警方是否已展開調查。

《明報》於相關報道中,文尾加入了編輯部聲明,表示在採訪過程中發現環聯信貸資料庫有保安漏洞,深入採訪時蒐集了一些個人資料,作確認和支持報道之用。明報強調,在偵查過程中只是以人力重複嘗試的手法進入系統,測試漏洞,並非以欺詐手法獲取資料,亦不涉及濫用。過程中取得的個人資料,只作報道之用,報道完成後,已於今日凌晨2時將相關個人資料全部銷毀。




金管局表示,環聯為香港銀行和其他信貸機構提供信貸資料服務,並不受金管局監管,得悉事件後,立刻與銀行和環聯進行溝通及了解情況。該局獲告知,有人透過環聯及部分信貸或中介機構的網上平台,利用多次測試的方法,通過環聯的動態問題認證程序,不當地取得儲在環聯的第三者的個人信貸報告。金管局對此表示關注,並已透過銀行公會要求環聯立即全面調查事件,以及盡早提升認證程序。金管局已向私隱專員公署作出通報,並會配合私隱專員公署的跟進工作。
如果唔係關係到777,班HIHI肯定不了了之


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
舊 02-26-19, 06:17 AM   #14
david
The One
 
註冊日期: Mar 2002
文章: 20,716
黑客新招 SMS飛線偷驗證碼
電子錢包任提款

引用:
經SMS接收驗證碼才能登入賬戶,本是令人安心的額外保安措施,但卻因電訊商SMS轉駁(俗稱飛線)服務,令保密變洩密。有受害人去年尾突「被申請」SMS飛線,三日內遭截取電郵及多個電子錢包的登入驗證碼,再被盜取個人資料購買遊戲點數及申請信用卡,花費逾18萬元。《蘋果》實測SMS飛線截取驗證碼過程,成功登入他人支付寶賬戶並過數到自己戶口。金管局八年前規定,涉及銀行密碼的SMS不能被飛線,卻沒與時並進規管電子錢包,立法會議員批評金管局疏忽。《蘋果》發現漏洞後向金管局查詢,局方翌日才急補鑊,通知電子錢包營運商引用銀行同類措施。

慘成手機洩密受害者的林女士已退休,是3香港客戶,也是早前國泰洩密事件受影響客戶。她憶述,去年12月22日手機接連收到由Yahoo電郵、PayMe發出的驗證碼SMS,「我諗佢都睇唔到我個驗證碼,唔會入到我Email,應該唔使擔心嘅」。翌日,她再收到SMS指成功以1,280元購買遊戲點數,當時因不涉信用卡資料,以為不會過數,故不以為意。

申請新卡狂碌18萬

至24日深夜,其手機陸續收到亞洲萬里通及支付寶的驗證碼SMS,及來電飛線已啟動的通知,之後林甚至不能登入亞洲萬里通及支付寶賬戶,她馬上報警並向3香港查詢,豈料職員告知她,早前購買的遊戲點數是經電訊商網站購買,除了來電飛線,其SMS亦被申請飛線。「我嗰刻先恍然大悟,知道點解不斷有咁多驗證碼嚟,周身唔安樂」,她透過電話要求職員停止SMS飛線服務,惟翌日到門市時再度發現SMS被飛線,最終要付費100元,申請以後需親身到門市辦理飛線服務。

由於林的Yahoo電郵內有其身份證等副本,網絡保安專家估計「飛線賊」獲取驗證碼後,逐步攻陷林的電郵及電子錢包,掌握她個人資料及銀行資訊後立即申請信用卡,取卡後即大肆購買電子產品,花去逾18萬元。林因多個電子錢包都沒綁定信用卡資料而未有電子錢包損失。

雖然銀行最後豁免該筆竊款,惟林直言此事帶來極大精神困擾,擔心個人資料日後會被用來借貸或有其他損失。她已更改電話號碼、刪除電郵及電子錢包賬戶,並提醒其他用戶,「呢啲驗證碼係可以藉住個飛短訊服務,隨時去到黑客手上,係好危險嘅事」。

《蘋果》嘗試單靠姓名、身份證及手提電話號碼,測試SMS飛線及截取電子賬戶的驗證碼,發現即使並非用戶本人,仍可向電訊商申請SMS飛線,之後再靠身份證及手提電話號碼,登入用戶的網上賬戶啟動SMS飛線,隨後就可從第三方手機,截取部份電子錢包驗證碼,包括支付寶和WeChat Pay,其中更可操控支付寶戶口並過數。

金管局接查詢後急補鑊

3香港發言人稱經設定SMS轉駁服務後,所有短訊會轉發至預設號碼,惟銀行公會下的金融機構發出的短訊不會被轉發;至於涉及電子錢包的SMS飛線,發言人未有回應。警方指接獲事主報案,案件列盜竊及以欺騙手段取得財產調查,未有人被捕。

金管局2011年發出指引,要求銀行不可將一次性密碼的短訊,傳送至SMS飛線的其他手機號碼,但對於近年興起的儲值支付工具,卻一直沒採用相同準則。

《蘋果》上周向金管局查詢,翌日局方急補鑊,突通知所有電子錢包營運商,要求引用「一次性密碼轉發禁用」措施。其後金管局發言人回應稱部份電子錢包營運商例如PayMe及Tap&Go,早已自行實施相關規定,仍未實施的營運商包括支付寶香港、TNG及WeChat Pay HK則已表示,短期內會落實相關安排。

柑脘焗:唔係唔想做O野呀,支那保唔到我理啦....


__________________
#AlitaChallenge
---
"This botch job makes Fantastic Four look good." —Peter Travers, Rolling Stone
---
NS CC:Morphus X300
david 目前離線   回覆時引用此篇文章
回覆

主題工具
顯示模式

論壇跳轉


現在的時間是 09:48 PM


手機版 | APP版
Powered by vBulletin® 版本 3.8.3
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd. map
Games Animation Forum