香港郵政最新爆出資安事故,忽略公眾知情權

24/10/2023, ,

近日多宗資訊安全事故,包括消委會、數碼港、民政事務處等,然而有一個政府部門的電腦系統同樣出現資訊安全事故,但無論是政府新聞公布或大眾傳媒領域均未提及,完全逃出了公眾視野的範圍。筆者收到消息後,一直等待官方公布詳情,至今未見下文。等了兩天,見仍未有正式對外公布,覺得有必要為此撰文。

涉事的政府部門為香港郵政。

香港郵政在 2023 年 10 月 18 日以電郵通知受影響用戶,稱有「未經授權人士利用我們(香港郵政)的電子服務功能,透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址,並最終碰巧取得了你(受影響用戶)用作與香港郵政帳戶登記的電郵地址」。該通知末段附有一個電話號碼及電郵地址,筆者上網確認該電話號碼為 「香港郵政一般查詢熱線」,按指示致電,最終接駁至 1823,問及職員有關香港郵政的資安事故,接線生確認事件,並建議筆者要做好資安保護措施等。

先說一下今次香港郵政處理事件時較為可取之處,香港郵政有主動發電郵通知受影響用戶,並已經向警方及私隱專員公署通報事件。然而有一個重要的遺漏,即忽略了公眾知情權,完全沒有在任何大眾傳媒領域或政府新聞公布提及此事。筆者收到電郵通知時,多番嘗試查找相關新聞,遍尋不獲,第一反應是:「到底這封電郵本身是否詐騙?」

低級資訊漏動

公營機構爆出資安事故,一來涉及公帑運作,二來影響層面較廣,實有必要主動向公眾及傳媒披露。向公眾交代之重要,一來可以防範,二來可以讓公眾監察是否改善,三來也有問責必要。就以此事故為例,香港郵政只提醒用戶保護好個人資料,但事件洩漏經過、責任所在、如何改善,全皆欠奉。

筆者發現近年不少資安事故,涉事機構總是諸多砌詞,像消委會事件,其嚴重資安事故後出版的《選擇》月刊(第 564 期,2023 年 10 月 16 日)〈編者的話〉說甚麼「道高一尺,魔高一丈」,又說甚麼「人工智能聊天機器人 ChatGPT 大大提升破解密碼的速度」,還有「現實中沒有任何一個『保護罩』是百分百防彈」云云,看得筆者火冒三丈。就消委會事件而言,最初為何出現資安事故?是由於遭到惡意勒索軟體攻擊,這類攻擊與複雜破解毫無關係,更非新發現的漏洞,而只是機構中人根本就沒做好最基本的防護措施。事故後的機構出版物中如此強調「魔高一丈」,加上一堆科技砌詞,在熟悉情況的內行人眼中,除覺荒唐可笑,更覺等同推卸責任。

說回香港郵政資安洩漏事件,筆者驚訝之處正是郵政系統居然會發生如此低級的資訊漏洞。香港郵政聲稱未經授權人士「透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址」,此類攻擊即「憑證填充攻擊」(credential stuffing)及「暴力破解攻擊」(brute-force attack),都屬極為低級的攻擊,而且也十分容易防範。例如在網站加入限制嘗試次數的鎖定功能,以及 Captcha 驗證(要求用戶選擇圖片來證明是人類),已經能有效阻截相關攻擊。再加上一定的流量監察,例如檢測到多次登錄失敗後向管理員發出潛在暴力破解警告等,已能避免。

我敢說大多上網的人,早就體驗過多次嘗試被鎖定或 Captcha 功能,這種防範在民間已是家常便飯,對用戶來說不覺陌生。香港郵政網頁的保安措施有多少年沒有升級,怎麼會連「憑證填充攻擊」及「暴力破解攻擊」這種低端入侵都阻截不了?進一步問,香港郵政是內部構建還是外判找承辦商,有否與其協議定時更新最基本的資安措施,與時並進?

沒有公眾監察,機構少了重要的改善推動力。機構若不坦然接受第四權之監察,最終損失的是普羅大眾。

連結:https://www.patreon.com/posts/91320456

圖片:香港郵政向受影響用戶發送的電郵通知,已經核實。

最新內容

你也可能喜歡