【纵横游泄私隐】黑客一个加密功能玩残纵横游　专家：针对性攻击

旅行社纵横游周一（6日）遭黑客入侵，系统内20万名客户资料外泄，当中一成、即约2万人的资料更包含信用卡资料，旅行社高层在记者会上鞠躬道歉。黑客以什么手法控制纵横游电脑系统，据了解，黑客是以Windows内建的位元锁（BitLocker）加密功能，“骑劫”纵横游整个系统，令公司惟有断开系统与网络的连接，连网站也主面瘫痪，门市并只可提供有限度服务，希望于本月内完成抢修及升级。事件更揭露，原来纵横游保存客户个人资料，长达三年。

纵横游行政总裁兼执行董事袁振宁于记者会上，只透露了黑客不是以WannaCry或ransomware入侵公司电脑系统，但不肯进一步透露详情，只表示对方要求支持七位数字赎金，要以比特币过数，公司董事局考虑了半小时后，决定不会付赎金，因“黑客系唔可信，唔应鼓吹网上罪行。”即使最终未能解锁取会资料，也不会付赎金。据了解，黑客入侵了纵横游的电脑系统，取得客户资料后，再利用了window的bitlocker 加密功能，将资料锁死，再向纵横游勒索。香港资讯科技商会荣誉会长方保侨表示估计，事件有可能是公司未有对window系统定时进行安全性更新，以至黑客有机可乘。不过，他也补充，现阶段资料未足，未能作出定论。

客户资料保留3年　20万人中招

外泄的客户资料，纵横游估计有20万人受影响，当中可能包括姓名、身份证号码、护照号码、电话号码、电邮地址、信用卡资料、邮递地址及购买记录，而涉及信用卡资料（当中包括信用卡背面称为CVV或CVC代码的3个数字）的受影响资料约占一成。纵横游行政总裁兼执行董事袁振宁表示，如信用卡、身份证、护照号码的敏感资料会保存一年；而姓名、电话及电邮地址的非敏感资料将保存三年。

私隐条例：个人资料保存时间不超过实际所需

“唔出事咪好方便。”莫乃光表示，商户储存客户资料看似方便，但亦存在保安隐忧，虽然个人资料（私隐）条例要求“个人资料的保存时间，不得超过将其保存以贯彻该等资料被使用于或会被使用于的目的（包括任何直接有关的目的）所需的时间”以及“资料使用者须采取所有切实可行的步骤，以确保个人资料的保存时间不超过达至原来目的的实际所需（如在所有相关活动完成后，便不应保留任何因该项活动目的而收集的个人资料）”，不过何谓实际所需并不太清晰。他希望私隐专员公署可以建议保存时间，以便商户跟从。