【明報專訊】剛踏入2019年一個多月,已經爆出一件驚人的資料外泄事件。在一個雲端儲存上存有7.73億個電郵地址,當中有2200萬個電郵的密碼已經被破解,為資料外泄事件簿寫下歷史「新紀錄」。泄漏資料的來源,來自超過2800個網站,初部觀察,也有以.hk為登記域名的網站,當然非.hk登記的域名也有可能來自香港(在執筆時,該資料已被下架)。
目前機構利用互聯網收集個人資料的增長速度,遠超過加強保安措施及黑客入侵的速度,這造就了黑客有更多機會、持續偷取到不同類型的用戶資料。這些資料會為黑客在黑網(設置於互聯網加密網絡中的網站或服務)帶來利潤。有時候,在瀏覽黑網時也會發現,不法分子會販賣個人資料,相信這些資料來源也有部分來自入侵網站所得。
資訊保安措施落後 不敵黑客
這也反映出很多機構會收集用戶過多的資料,同時在資訊保安層面無法與時並進。事實上,收集的資料是否有用、有沒有能力分折、有沒有管理好,全是疑問。一旦保安措施跟不上黑客的技術發展而遭受入侵,不但影響商譽,也影響他人。這次事件中,黑客從2016年開始已經把盜取回來的資料上載到雲端儲存上,直至現在始被發現。
回到今年的預測,有一些機構在業務上會擁有大量的個人或敏感資料,隨着潮流趨勢,企業利用互聯網連繫個人或其他企業的機會也會日益增加。當互聯互通頻繁時,風險便會增加。我們相信跟健康產業有關的機構資料外泄事故,有可能會相繼出現。
當我們提供予其他機構的資料遭泄漏,我們只感到無奈;但是我們作為使用者也可以做一些預防措施,當機構要求提供敏感資料時,提供愈少,風險愈小。別為了些微的好處而承受莫大的擔憂,這不是等價交易。
機構們亦應審視一下,在業務上蒐集資料時認真考慮一下必要性。我有一個牙醫朋友,數年前開始不再收集病人的身分證號碼,因為他清楚知道即使沒有這些資料,也有其他方法準確地分別出同名同姓的病人。在此個案中,身分證號碼在業務上是多餘的,朋友並且奉行這原則:沒有收集、不用擔心。
文:楊和生(香港互聯網協會網絡保安及私隱小組召集人)
