香港電訊商遭黑客入侵盜取38萬客戶資料

香港寬頻在星期一發現遭到黑客入侵，但到了星期三才透過公關公司發新聞稿披露，立法會資訊科技界議員莫乃光認為情況嚴重，香港寬頻要交代為何要保存舊有客戶的資料庫這麼久，現階段應儘快通知受影響客戶，避免信用卡資料被盜用招致損失。

去年3月選舉事務處遺失全港逾378萬選民資料的手提電腦，今次香港寬頻被入侵，是香港私營機構歷來最大宗資料外泄事件。香港寬頻指現正努力透過電郵、短訊及發信通知受影響客戶，相信一、兩日內會完成；至於未能聯絡上的客戶，公司準備聯絡銀行協助通知相關客戶。

香港寬頻18日公布，本周一發現一宗未經授權接觸其一個已停用客戶資料庫事件。據了解，資料庫包含香港寬頻截至2012年約38萬固定及IDD服務客戶及服務申請人紀錄，相信當中包括現有及前客戶，約佔其360萬客戶紀錄的11%。當中涉及的資料包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼及約4.3萬張信用卡資料。

香港寬頻發言人回覆本報查詢時表示，公司內外網絡安全顧問均認為黑客採用的並非普通技術，公司被超前技術入侵。香港資訊科技商會榮譽會長方保僑指，一般都會認為電訊商的網絡保安一定做到最高級，故所謂的“超前技術”，即是指比電訊商現有保安更厲害的技術。

涉事伺服器位於香港寬頻葵涌的數據中心，該公司指已採取措施防止日後任何類似攻擊，相信此為獨立事件，不會對其業務及營運造成任何重大影響。集團隨即進行內部調查，並聘請外部網絡安全顧問全面檢查所有系統及伺服器。事發後，該公司周二向警務處報告事件及通知私隱專員。發言人補充，至今未有黑客與公司接觸，未知何時被盜資料及入侵原因。

香港今年1月初曾發生兩宗旅行社遭黑客入侵再被勒索事件，大航假期及金怡假期報稱被黑客入侵網上系統盜取大量客戶資料，並遭對方勒索1元比特幣（當時巿值約12.2萬港元）以贖回被盜資料。警方網絡安全及科技罪案調查科接手跟進，事隔3日拘捕一名30歲黑客。

個人資料私隱專員黃繼兒表示，已收到香港寬頻通報，對事件表示關注。他表示公私營機構必須按《個人資料（私隱）條例》規定妥善儲存客戶個人資料，並採取切實可行步驟，保障個人資料不會未經授權地喪失或使用，否則便有可能違反條例下的資料保安原則。

涉事資料庫已停用6年

莫乃光指，現階段難以評論香港寬頻在電腦保安上是否有疏忽，因黑客入侵企業盜取個人資料已成為世界潮流，出現道高一尺魔高一丈的情況，相信黑客入侵事件將會繼續發生。但他認為，從香港寬頻公布的資料，涉及的是2012年已停用的客戶資料庫，即至今已停用6年，香港寬頻長時間保留已停用資料是否合理，有否違反私隱條例，私隱署應該調查。香港寬頻發言人稱，一般保存舊客戶資料7年。

根據私隱條例，負責處理個人資料的機構須遵守多項保障資料原則，違反原則並不直接構成刑事罪行，惟私隱專員可發出執行通知，指令違反的機構採取補救措施。若機構不遵守執行通知屬於刑事罪行，一經定罪，可被判處最高罰款港幣5萬元及監禁兩年。

另外，香港寬頻位於世和中心的數據中心昨午4時一度停電，為數據中心首次。發言人確認事件，指有供電組件故障，停電13分鐘後恢復正常，相信與黑客入侵無關。