You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss

金管警方醫局電郵密碼疑傳暗網 (紀曉風)

By on May 7, 2018

原文刊於《信報》的「紀曉風/獨眼香江」專欄

何國光在暗網搜尋到政府電郵戶口及密碼,擔心部門內部郵件會外洩。(陳廣盛攝)

何國光在暗網搜尋到政府電郵戶口及密碼,擔心部門內部郵件會外洩。(陳廣盛攝)

網絡世界除了大眾熟悉、可利用谷歌等搜尋引擎到達的各網站外,更多是充斥非法交易和行為的「暗網」世界【圖】。香港偵探總會表示,最近有會員滙報稱,曾利用一個「暗網」搜尋軟件,找到政府部門及公營機構的逾千個員工電郵和密碼,涉及警務處、醫管局和金管局,疑是員工用機構電郵用以私人用途登記一些商業網站,導致電郵和密碼被流入至暗網,令政府部門內部資料有外洩風險。

香港偵探總會創會會長何國光表示,最近發現可利用暗網搜尋軟件「kinkayo honeybear」,搜尋到金管局、警方、醫管局分別近100個、200個和1000個內部電郵戶口及註冊商業網站的密碼。這些資料在暗網流傳的原因,可能有員工貪方便以公務電郵登記商業網站,由於不少人習慣用同一組密碼,致各部門的內部郵件外洩。

因公務戶口登記商用網

因涉及個人資料關係,何向老紀提供每部門5至6個電郵戶口及密碼,供老紀向上述部門求證。金管局回應稱,部分電郵戶口屬已關閉,即使是現有電郵戶口,密碼亦不符合。局方發言人又解釋,員工以局方電郵戶口登記一些商業網站或是與工作有關:「即使登記香港書城(其中一個受到黑客入侵的網站),都好可能係同事買書作參考之用。」金管局重申,內部有指引、培訓、測試等提升員工的網絡安全意識;且金管局的電郵系統非對外公開網站,即使取得電郵戶口和密碼,亦不等於可輕易登入系統。

 

0507_P13

警方稱,一直有清晰的資訊保安內部指引,新入職及在職人員均會定期接受相關課程和訓練。醫管局也指出,有為員工提供保護密碼的指引,如每半年提醒員工重置密碼。

然而,為何仍有警員和醫管局員工以內部電郵戶口去登記一些商業網站?老紀所獲取的電郵和密碼是否相符可登入機構內部系統,警方及醫管局都沒有回應。

香港偵探總會資訊科技顧問張鎮輝稱,3機構均有多個電郵戶口及註冊商業網站的密碼流出,當中有一些或與內部系統相符,擔心有政府機密因而外洩。他稱,事件雖不涉及系統問題,卻反映出公務員網絡安全意識不足:「其實呢樣嘢仲嚴重,因為如果係系統漏洞,出事時都會察覺到;個人問題就畀人拎晒啲資料都唔知。」

張又稱,一個月前已向政府資訊科技總監辦公室滙報事件,惟對方未有積極回應。華爾基利(VXRL)信息安全研究組織電腦保安研究員賴灼東建議政府部門採登入雙重認證,即輸入密碼外,再加電話SMS臨時認證碼。

資訊科技總監未積極回應

立法會資訊科技及廣播事務委員會委員陳恒鑌認為,政府部門員工作為公職人員要小心自己的言行:「官方電郵唔好做私人嘢,如果被發現上一啲唔正經嘅網,會畀市民唔好嘅印象,又會有洩露內部機密的風險。」他續說,未有聽到資訊科技總監報告事件,促請當局要為各政府部門定出更清晰的指引。

支持EJ Tech



如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們