近日多宗資訊安全事故，包括消委會、數碼港、民政事務處等，然而有一個政府部門的電腦系統同樣出現資訊安全事故，但無論是政府新聞公布或大眾傳媒領域均未提及，完全逃出了公眾視野的範圍。筆者收到消息後，一直等待官方公布詳情，至今未見下文。等了兩天，見仍未有正式對外公布，覺得有必要為此撰文。

涉事的政府部門為香港郵政。

香港郵政在 2023 年 10 月 18 日以電郵通知受影響用戶，稱有「未經授權人士利用我們（香港郵政）的電子服務功能，透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址，並最終碰巧取得了你（受影響用戶）用作與香港郵政帳戶登記的電郵地址」。該通知末段附有一個電話號碼及電郵地址，筆者上網確認該電話號碼為 「香港郵政一般查詢熱線」，按指示致電，最終接駁至 1823，問及職員有關香港郵政的資安事故，接線生確認事件，並建議筆者要做好資安保護措施等。

先說一下今次香港郵政處理事件時較為可取之處，香港郵政有主動發電郵通知受影響用戶，並已經向警方及私隱專員公署通報事件。然而有一個重要的遺漏，即忽略了公眾知情權，完全沒有在任何大眾傳媒領域或政府新聞公布提及此事。筆者收到電郵通知時，多番嘗試查找相關新聞，遍尋不獲，第一反應是：「到底這封電郵本身是否詐騙？」

低級資訊漏動

公營機構爆出資安事故，一來涉及公帑運作，二來影響層面較廣，實有必要主動向公眾及傳媒披露。向公眾交代之重要，一來可以防範，二來可以讓公眾監察是否改善，三來也有問責必要。就以此事故為例，香港郵政只提醒用戶保護好個人資料，但事件洩漏經過、責任所在、如何改善，全皆欠奉。

筆者發現近年不少資安事故，涉事機構總是諸多砌詞，像消委會事件，其嚴重資安事故後出版的《選擇》月刊（第 564 期，2023 年 10 月 16 日）〈編者的話〉說甚麼「道高一尺，魔高一丈」，又說甚麼「人工智能聊天機器人 ChatGPT 大大提升破解密碼的速度」，還有「現實中沒有任何一個『保護罩』是百分百防彈」云云，看得筆者火冒三丈。就消委會事件而言，最初為何出現資安事故？是由於遭到惡意勒索軟體攻擊，這類攻擊與複雜破解毫無關係，更非新發現的漏洞，而只是機構中人根本就沒做好最基本的防護措施。事故後的機構出版物中如此強調「魔高一丈」，加上一堆科技砌詞，在熟悉情況的內行人眼中，除覺荒唐可笑，更覺等同推卸責任。

說回香港郵政資安洩漏事件，筆者驚訝之處正是郵政系統居然會發生如此低級的資訊漏洞。香港郵政聲稱未經授權人士「透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址」，此類攻擊即「憑證填充攻擊」（credential stuffing）及「暴力破解攻擊」（brute-force attack），都屬極為低級的攻擊，而且也十分容易防範。例如在網站加入限制嘗試次數的鎖定功能，以及 Captcha 驗證（要求用戶選擇圖片來證明是人類），已經能有效阻截相關攻擊。再加上一定的流量監察，例如檢測到多次登錄失敗後向管理員發出潛在暴力破解警告等，已能避免。

我敢說大多上網的人，早就體驗過多次嘗試被鎖定或 Captcha 功能，這種防範在民間已是家常便飯，對用戶來說不覺陌生。香港郵政網頁的保安措施有多少年沒有升級，怎麼會連「憑證填充攻擊」及「暴力破解攻擊」這種低端入侵都阻截不了？進一步問，香港郵政是內部構建還是外判找承辦商，有否與其協議定時更新最基本的資安措施，與時並進？

沒有公眾監察，機構少了重要的改善推動力。機構若不坦然接受第四權之監察，最終損失的是普羅大眾。

連結：https://www.patreon.com/posts/91320456

圖片：香港郵政向受影響用戶發送的電郵通知，已經核實。