較早前入侵的黑客再次向傳媒透露,可以輕易下載儲存在伺服器中逾 190GB 的相片及父母與子女的對話記錄。眾多的資料外洩事故不禁令人質疑大型企業是否有足夠的資訊保安措施和持認真的態度保障客戶的個人資料安全。
伺服器不設防 黑客輕取 190GB 相片及對話記錄
外洩的資料包括兒童的相片和父母與子女的對話記錄,相信是來自 VTech 的 Kid Connect 服務,該服務可讓父母透過手機應用程式與使用 VTech 平板電腦的子女溝通,並鼓勵父母子女雙方使用自拍照片作為個人頭像。
黑客表示能在 VTech 的伺服器獲取所有這些資料,考慮到 Kid Connect 的註冊用戶數量多達 230 萬,他所下載的逾 190GB 相片只佔其中小部分。黑客為了向傳媒證實,出示了 3,832 張相關相片,但他亦表示目前並無計劃公開或者出售這些資料。
除了相片,伺服器中亦儲存了父母與子女間的對話記錄,最早的記錄可追溯到上年年尾,最近的今年 11 月記錄也有,另外還有少部分對話錄音。
網站 Have I been pwned? 列出十大資料外洩事件,VTech 位列第四,可見事件影響頗大。如果用戶擔心自己的資料是否已遭外洩,可以在網站中輸入 Email 或用戶名查詢,若不幸發現涉及資料外洩,可及早修改資料或更換密碼。
官方聲明外洩資料不涉及身份證明及信用卡資料
就資料外洩事件,偉易達集團(VTech)在官方網站發表聲明指,在 11 月 24 日發現資料外洩後,已展開深入調查,全面檢查受影響的網站,並採取多項措施以防止網站再被入侵。
聲明中提到偉易達的客戶數據庫包含一般的用戶資料,如姓名、電郵地址、密碼、用以獲取密碼的秘密提示問題和答案、IP 地址、郵寄地址和下載記錄。數據庫也記錄兒童資料,包括姓名、性別和出生日期。是次事件全球約共 500 萬顧客賬戶及相關兒童資料受到影響。
聲明亦強調數據庫中沒有儲存信用卡資料,也沒有身份證明文件資料(如身份證號碼、社保號碼(Social Security numbers)或駕駛執照號碼)。
偉易達用戶資料外洩 私隱公署展開調查
個人資料私隱專員公署亦在今日發表報告指,今年抽查 45 個由本地機構開發,以兒童為對象的網站及手機程式,結果顯示有部份的做法不太理想。值得關注的是香港有 60% 網站會收集兒童的住址,更有 73% 會收集兒童的電話號碼。對比全球抽查結果的 19% 及 22% 為高。
此外有 36% 網站有收集兒童的身份證號碼,而只有 4% 網站有在網上提供刪除資料的途徑。對比全球 29% 為低。私隱專員公署促請以兒童為對象的網站及程式應加強私隱保障。
而就近日偉易達被黑客入侵導致客戶資料外洩一事,個人資料私隱專員公署已就偉易達集團 Learning Lodge 網站資料外洩事件展開循規審查。私隱專員黃繼兒表示,偉易達集團已在今天(12 月 1 日)就事件通報公署。是次資料外洩事故涉及全球約 500 萬顧客賬戶及相關兒童的個人資料,現時未透露受影響的香港人的數目。
公署決定展開循規審查,了解偉易達集團在資料外洩事故發生前是否採取了適當的步驟,以保障所持有的個人資料的安全;以及事故發生之後所採取的補救措施與如何避免同類事故再次發生。公署將會根據循規審查的結果依法跟進,包括向偉易達集團提出相關建議,協助他們符規以保障市民的個人資料。