香港電子玩具廠商 VTech 遭黑客入侵數據庫,500 萬筆客戶個人資料外洩,其中更包括兒童個人訊息,後來更發現有多達 190GB 的兒童照片和通訊紀錄也外洩。香港個人資料私隱專員公署促請以兒童為對象的網站及程式應加強私隱保障,資訊保安專家也認為香港機構敏感度不足,需要立即正視。
20 萬兒童資料、190GB 照片和對話紀錄外洩
近年有關的資料外洩案件非常多,其中不少更相當震撼性。例如 Sony Pictures 就有多達 100TB 資料被黑客偷走、包括摩根大通內多家華爾街銀行遭駭客攻擊,8,000 萬客戶資料受影響。今年偷情網站 Ashley Madison 就有 3,700 萬筆會員資料被上載到 Deep Web,其中更發現有不少國家政府部門的電郵地址。
當然,還有最近的偉易達(VTech)旗下網站 Learning Lodge(學習小屋)數據庫外洩,多達 480 萬則客戶資料外洩,其中更包括 20 萬名兒童資料,還有 190GB 的照片和對話紀錄也一併外洩。由於這涉及兒童人身安全,讓公眾對事件更加著緊,香港個人資料私隱專員公署就已跟 VTech 接觸並研究補救措施,並呼籲任何網站收集兒童用戶資料時必須做好保安措施。
私隱專員黃繼兒表示,偉易達已就事件通報公署,但並無透露受影響的香港人的數目。公署決定展開循規審查,旨在了解偉易達集團在資料外洩事故發生前是否採取了適當的步驟,以保障所持有的個人資料的安全;以及在資料外洩事故發生之後所採取的補救措施,以及如何避免同類事故再次發生。
玩具智能化為黑客製造更多入侵機會
玩具產品日趨智能化已非新聞,在物聯網時代愈來愈多商品具備連網功能,收集數據不僅愈多,也為黑客製造更多的入侵空間。例如 Unwire.pro 早前就報導過,芭比娃娃也智能化,Hello Barbie 可像 Siri 般與人互動,並透過 WiFi 來連接上網,內有收音咪和揚聲器。
但已有保安專家指芭比娃娃連網後很易被黑客人侵,黑客可讀取 WiFi 網絡名稱、帳戶、錄音檔案和收音咪,甚至可憑 WiFi 訊號追查兒童位置,或透過駭入伺服器來控制娃娃說甚麼。此外黑客亦有機會入侵 Barbie 主人的 Wi-Fi 網絡,控制網絡其他裝置並偷取資料。
還有現在方興未艾的無人機。HP Security Research 就有研究人員警告,無人機飛行控制器可能被攻擊,從而騎劫無人機。只要截取並修改植入數據流到遙距連接系統,或假冒與地面站的連線都可騎劫無人機,黑客在地面基站安裝惡意軟件就能截獲遙控連線。
外洩資料會讓兒童陷入危機之中
這些外洩數據都來自於 VTech 的 Kid Connect 服務,該服務允許父母使用智能手機和使用 VTech 平板的兒童進行交流。據入侵的匿名黑客向網站 Motherboard 表示,Kid Connect 服務儲存在伺服器上的包括父母和兒童的頭像,還有雙方用平板電腦的通訊紀錄,黑客只是隨便下載一部分都已經達到 190GB 之多。
雖然 VTech 事後的新聞稿已強調外洩的資料並未包括身分證和信用卡號碼等個人資料,但事情危險之處在於外洩的資料會讓兒童陷入危機之中。兒童的照片可能被孌童人士用於兒童色情,而父母與兒童交流的聊天記錄亦可能透露大量的個人身份、行蹤的訊息,可能成為綁架、爆竊等犯罪的參考資料。
智能玩具引發的安全威脅備受熱議,今次 VTech 陷入黑客入侵的窘境,對於那些準備將數據放在雲端的玩具企業而言,數據安全問題值得被放到首要位置。另一方面也同時引來不少疑問,到底香港機構在資訊保安和客戶個人資料保護上,是否符合水平?而在處理兒童個人資料時的敏感度是否太低?
香港機構處理兒童個人資料敏感度低
香港個人資料私隱專員公署早前公布「全球私隱執法機關網絡」的調查,結果顯示分別有 60% 和 70% 香港網站或程式有收集兒童的住址及電話,對比全球抽查結果的 19% 及 22% 高出很多。亦有 36% 網站向兒童索取第三者(父母或朋友)的資料,對比全球抽查結果的 18% 高出一倍;但只有 4%(兩個網站)有在網上提供刪除資料的途徑,遠比全球的 29% 為低。
報告更發現有 36% 網站及程式有收集兒童的身份證號碼;49% 在資料收集時更聲明會把資料轉移給第三者,可能用於商業機構作直銷用途。
私隱專員黃繼兒指,本港兒童擁有手機的比例多,接觸網絡世界時間較長,但不少網站及程式以開放式問題收集兒童個人資料,相關的私隱聲明亦未有用淺白易明方式作解釋,令兒童很易應要求提供個人或家人資料。
私隱公署促請以兒童為對象的網站及程式應加強私隱保障,建議機構避免使用開放式問題,以減少向兒童收集他們及第三者的個人資料,並向兒童提供刪除帳戶及個人資料的途徑。
莫乃光:很多公司缺乏資訊保安警覺性
香港立法會資訊科技界議員莫乃光接受 Unwire.pro 查詢時指出,VTech 客戶資料外洩一事的關鍵並非香港的保安水平落後,而是很多公司都缺乏對資訊保安的警覺性:「也許 VTech 現在已經後悔,如果在處理時做好一點就不會有今天的麻煩。」
莫乃光指出近年國際有很多資料外洩的新聞,很多都是國際大公司,美國公司同樣有嚴重事故,因此不能就此便斷定香港的資訊保安水平做得比外國差。但話雖如此,莫乃光認為事故既然發生了,正代表香港機構的保安做得不足,而且不管 VTech 的主要市場是在美國,既然是香港上市公司自然也得受香港的法例監管。
「最重要的其實香港機構是否重視。如果他們重視的話,就會有專人去專責處理資訊保安,在收集、管理、儲存以至銷毀客戶敏感數據時,也會特別小心。」在他的經驗裡見過不少機構缺乏敏感度,例如在收集客戶資料時問得太多,甚至見過有機構的 SSL 證書是十年以上,早已過期。
「固然很多案例都跟系統漏洞沒有補好有關,但如果有專人去處理這些資訊保安事宜,就會考慮周詳很多。而在私隱處理上機構是否已充分達到私隱專員公署的要求?又是否理解自己的責任?例如資料如何取得、有否向客戶清楚解釋取得資料用途。很多時並非保安水平的問題,而是有多重視的問題。」他說。
伺服器在美國仍須受到香港法例監管
在強調「數據可比黃金」的今天,收集客戶的數據以用於大數據分析,或是在客戶關係管理(CRM)系統裡改善服務水平,都是很常見、甚至是必不可少的事。香港機構要保持競爭優勢,就不得不收集客戶的資料和使用數據,但這同時卻又變得極大風險,不知什麼時候會成為下一個的黑客受害者。
莫乃光指機構做不好資訊保安和私隱保護,就連 Google 也會被追殺,不僅香港的私隱專員公署已經聲明開始調查,莫乃光相信 VTech 這次在全球應該都會面對不少訴訟。即使 VTech 的主要市場在美國,伺服器相信也在美國,但莫乃光指它仍須受到香港的法例監管。
「目前國際間並沒有一個共通的私隱處理標準,因此香港機構如果收集全球客戶的資料時,不僅需要遵守香港的私隱法規,也需要遵守當地的法例。目前也沒有法例特別針對非成年兒童的個人資料,但以香港私隱專員公署而言就有指引協助機構在處理兒童資料時的注意事項。」
個人資料私隱專員黃繼兒則表示,對於 VTech 客戶資料外洩一事,由於公署正就事件展開循規審查,因此現階段不能對是否違反條例作出評論。僅表示針對網站的資料保安方面,私隱條例規定資料使用者須採取切實可行的步驟,保障個人資料不受未獲准許或意外地被查閱、處理、刪除、喪失或使用。
資料外洩事故通報應改為強制性
莫乃光表示,雖然有鑑於數據經濟時代來臨,愈來愈多機構會收集客戶資料,但由於法例主要是原則問題,並非為資訊保安劃一條界,因此機構只要證明已經盡力保障資料安全,如安裝防火牆、採用 SSL 加密等就可以,因此並不需要特別收緊條例。
「反而有一些細節值得修改。例如現在香港機構發生資料外洩事故,通報只屬自願,並非強制。當年修例時因為業界反對,認為會對中小企帶來很大壓力而沒有修改。但我認為如果強制的話,機構會較為正視有關問題,而即使未能事前阻外洩,私隱專員公署也能知悉後確保出事機構已經做好補救工作。如果自願通報的話就做不到。」他說。
香港電腦保安事故協調中心(HKCERT)高級顧問梁兆昌也同意香港機構的警覺性不足:「即使是大機構也會出問題,這些公司不是沒資源,只是因為警覺性不足而讓黑客有機可乘。其實有很多方法可以減低風險,只要做好對策,黑客入侵就不會那麼容易,損失也能受到控制。」
梁兆昌:針對網頁程式攻擊常見、應以低權限運行
據爆出今次消息的網站 Motherboard 的安全專家 Troy Hunt 分析,VTech 客戶資料外洩事件的原因很簡單,就是採用太落後、易於受到攻擊的技術,同時也缺乏 SSL 加密。據黑客透露,入侵方法是常見的 SQL 注射(SQL Injection),在輸入字串中夾入 SQL 指令使其錯誤執行從而入侵。
梁兆昌接受 Unwire.pro 查詢時指出, 據網頁程式(Web Application)安全組織 OWASP 數據,SQL 注射是近年最流行的黑客攻擊手法,排名第一。網頁程式是指各種在網站運行的軟件,由 WordPress 到 Discuz,以至 eShop 的程式均屬此類。
由於坊間有很多黑客工具下載,黑客要向設計不良的網頁程式攻擊愈來愈易,只要網頁程式沒有檢查黑客輸入、夾帶指令的字串就直接寫入數據庫,數據庫就會執行指令,向黑客洩漏訊息。梁兆昌指如果網站把這些程式設為用高權限、甚至系統 Admin 權限執行,黑客甚至可以把整個網站的控制權都搶走。
他建議這些網站用較低的權限來運行上述網頁程式,最好把網頁程式和數據庫分開到不同的伺服器上運行,以減少一旦被黑客入侵就會全盤失守的機會。同時坊間有不少服務供應商提供網頁程式的防火牆服務,能大為阻隔黑客攻擊,機構應該考慮採用。當然數據庫也應該加密處理,即使被黑客取得也無法讀取。
HKCERT:2015 年黑客入侵數字已經翻倍
梁兆昌指出,HKCERT 每年獲通報的黑客入侵個案數字都不斷上升,截至今年 11 月底的數字,已是 2014 年的一倍之多,而且這不是香港一地,而是全球的趨勢。就他所知,今次 VTech 客戶資料外洩事件是香港史上最嚴重的案例,也是全球同類案例的前列,他認為香港機構必須正視問題。
由於中小企往往缺乏資源,也缺乏有關的資訊保安意識,因此往往是高危一族。梁兆昌認為雲端服務供應商因為有專人負責保安和定期更新漏洞,相較中小企自行管理會較為安全,但這也不代表可以掉以輕心:「其實就算是大公司都同樣出過意外,因此最重要還是有保安意識,在處理數據時應該更謹慎。」
結論:香港機構響起最後的警鐘
VTech 已表示將繼續深入調查事件找出真相,並制定防範措施來避免此類攻擊事件再次發生。但對於一家年營收額達到 20 億美元的大企業而言,此次危機無疑反映了企業在資訊保安方面的嚴重疏忽。資料外洩不僅造成直接的經濟損失,一旦信賴你的用戶成了驚弓之鳥(尤其還涉及兒童),企業將需承受更大無形的代價。
事實上已非第一次有人提醒香港機構。去年 11 月 NTT Com Security 就發表報告,指多達六成企業預計會發生資訊安全問題,但視資安缺失為最大業務風險者卻僅 9%。其中只有 1% 香港受訪企業視資訊保安為首要重任,資訊保安在本港企業的營運重點中僅佔第八位。
VTech 客戶資料外洩正好為香港機構響起最後的警鐘:數據外洩並非遠在天邊的事,明天可能就發生在你身上。