【纵横游泄私隐】黑客一个加密功能玩残纵横游　专家：针对性攻击

旅行社纵横游周一（6日）遭黑客入侵，系统内20万名客户资料外泄，当中一成、即约2万人的资料更包含信用卡资料，旅行社高层在记者会上鞠躬道歉。黑客以什么手法控制纵横游电脑系统，据了解，黑客是以Windows内建的位元锁（BitLocker）加密功能，“骑劫”纵横游整个系统，令公司惟有断开系统与网络的连接，连网站也主面瘫痪，门市并只可提供有限度服务，希望于本月内完成抢修及升级。事件更揭露，原来纵横游保存客户个人资料，长达三年。

纵横游行政总裁兼执行董事袁振宁于记者会上，只透露了黑客不是以WannaCry或ransomware入侵公司电脑系统，但不肯进一步透露详情，只表示对方要求支持七位数字赎金，要以比特币过数，公司董事局考虑了半小时后，决定不会付赎金，因“黑客系唔可信，唔应鼓吹网上罪行。”即使最终未能解锁取会资料，也不会付赎金。据了解，黑客入侵了纵横游的电脑系统，取得客户资料后，再利用了window的bitlocker 加密功能，将资料锁死，再向纵横游勒索。香港资讯科技商会荣誉会长方保侨表示估计，事件有可能是公司未有对window系统定时进行安全性更新，以至黑客有机可乘。不过，他也补充，现阶段资料未足，未能作出定论。

方保侨：黑客或熟悉公司架构

香港资讯科技商会荣誉会长方保侨表示，纵横游遭黑客入侵电脑系统后，公司行政总裁收到勒索电邮，并要求高达7位数字的勒索金额，情况与一般类似WannaCry等软件入侵的手法不同：“首先WannaCry一般都是勒索几百元美金，亦不会发电邮，一般就直接在系统显示勒索讯息。今次纵横游被勒索的金额大，对方亦知道公司负责人的电邮，有可能是熟悉公司网络、甚至是公司架构的人所为。”

莫乃光：建议客户更改信用卡号码“自保”

不过，立法会资讯科技界议员莫乃光认为，黑客视乎取得的资料价值才开价不足为奇，至于何以取得公司高层的电邮，则视乎有关联络资料本身的保密程度。至于黑客为何要求以比特币支付，方解释有关交易是无法追踪，不能够追查到收款人的身分行踪，因而成为非法交易的货币。方亦担心黑客取得有关个人资料后，已转售予其他不法分子，建议市民cut卡（取消信用卡）自保。

莫乃光指，信用卡交易始终存在风险，市民应多加留神，留意信用卡纪录，而不少发卡银行近年于信用卡网上交易时，采用手机短讯认识，减低信用卡被盗用的机会。他建议纵横游客户主动要求发卡银行更换信用卡及信用卡号码“自保”，由于涉及的客户众多，希望银行亦可配合及豁免有关手续费。

客户资料保留3年　20万人中招

外泄的客户资料，纵横游估计有20万人受影响，当中可能包括姓名、身份证号码、护照号码、电话号码、电邮地址、信用卡资料、邮递地址及购买记录，而涉及信用卡资料（当中包括信用卡背面称为CVV或CVC代码的3个数字）的受影响资料约占一成。纵横游行政总裁兼执行董事袁振宁表示，如信用卡、身份证、护照号码的敏感资料会保存一年；而姓名、电话及电邮地址的非敏感资料将保存三年。

私隐条例：个人资料保存时间不超过实际所需

“唔出事咪好方便。”莫乃光表示，商户储存客户资料看似方便，但亦存在保安隐忧，虽然个人资料（私隐）条例要求“个人资料的保存时间，不得超过将其保存以贯彻该等资料被使用于或会被使用于的目的（包括任何直接有关的目的）所需的时间”以及“资料使用者须采取所有切实可行的步骤，以确保个人资料的保存时间不超过达至原来目的的实际所需（如在所有相关活动完成后，便不应保留任何因该项活动目的而收集的个人资料）”，不过何谓实际所需并不太清晰。他希望私隐专员公署可以建议保存时间，以便商户跟从。