本地电讯网络商香港宽带称被超前黑客技术入侵,38万客户数据被盗,当中包括4.3万张信用卡数据。该公司指周一发现被黑客入侵,涉及一个已停用客户数据库,现仍未知何时被入侵及原因,至今亦未有黑客接触公司。警方网络安全及科技罪案调查科正跟进调查,私隐专员公署对事件表示关注。

去年3月选举事务处遗失全港逾378万选民资料的手提电脑,今次香港宽带被入侵,是本港私营机构历来最大宗资料外泄事件。香港宽带指现正努力透过电邮、短讯及发信通知受影响客户,相信一、两日内会完成;至于未能联络上的客户,公司准备联络银行协助通知相关客户,如果客户对此有疑问,可致电热线36169111查询自己是否涉及事件。
香港宽带昨午公布,本周一发现一宗未经授权接触其一个已停用客户数据库事件。据了解,数据库包含香港宽带截至2012年约38万固定及IDD服务客户及服务申请人纪录,相信当中包括现有及前客户,约占其360万客户纪录的11%。当中涉及的数据报括姓名、电邮地址、通讯地址、电话号码、身份证号码及约4.3万张信用卡资料。

未有黑客接触香港宽带

香港宽带发言人回复本报查询时表示,公司内外网络安全顾问均认为黑客采用的并非普通技术,公司被超前技术入侵。香港信息科技商会荣誉会长方保侨指,一般都会认为电讯商的网络保安一定做到最高级,故所谓的「超前技术」,即是指比电讯商现有保安更厉害的技术。
涉事服务器位于香港宽带葵涌的数据中心,该公司指已采取措施防止日后任何类似攻击,相信此为独立事件,不会对其业务及营运造成任何重大影响。集团随即进行内部调查,并聘请外部网络安全顾问全面检查所有系统及服务器。事发后,该公司周二向警务处报告事件及通知私隐专员。发言人补充,至今未有黑客与公司接触,未知何时被盗资料及入侵原因。
本港今年1月初曾发生两宗旅行社遭黑客入侵再被勒索事件,大航假期及金怡假期报称被黑客入侵网上系统盗取大量客户数据,并遭对方勒索1元比特币(当时巿值约12.2万港元)以赎回被盗资料。警方网络安全及科技罪案调查科接手跟进,事隔3日在长洲拘捕30岁黑客。
个人资料私隐专员黄继儿表示,已收到香港宽带通报,对事件表示关注。他表示公私营机构必须按《个人资料(私隐)条例》规定妥善储存客户个人资料,并采取切实可行步骤,保障个人资料不会未经授权地丧失或使用,否则便有可能违反条例下的数据保安原则。

涉事数据库已停用6年

信息科技界立法会议员莫乃光指,现阶段难以评论香港宽带在计算机保安上是否有疏忽,因黑客入侵企业盗取个人资料已成为世界潮流,出现道高一尺魔高一丈的情况,相信黑客入侵事件将会继续发生。但他认为,从香港宽带公布的资料,涉及的是2012年已停用的客户数据库,即至今已停用6年,香港宽带长时间保留已停用数据是否合理,有否违反私隐条例,私隐署应该调查。香港宽带发言人称,一般保存旧客户资料7年。
根据私隐条例,负责处理个人资料的机构须遵守多项保障数据原则,违反原则并不直接构成刑事罪行,惟私隐专员可发出执行通知,指令违反的机构采取补救措施。若机构不遵守执行通知属于刑事罪行,一经定罪,可被判处最高罚款港币5万元及监禁两年。
另外,香港宽带位于世和中心的数据中心昨午4时一度停电,为数据中心首次。发言人确认事件,指有供电组件故障,停电13分钟后恢复正常,相信与黑客入侵无关。