上月,香港郵政發生一宗備受關注的帳戶資料保安事故,有未經授權人士試圖通過香港郵政的電子服務功能,猜測用戶的登記電郵地址,並成功取得 7,249 個帳戶的電郵地址。然而,值得安慰的是,這次的外洩事件並未涉及登入名稱、密碼或交易紀錄等更為敏感的資料。
此次事件的背後,可能是黑客發現系統漏洞,利用一些早前在其他社交媒體及不同企業泄露的數以百萬計香港區電郵地址,透過香港郵政電郵系統忘記密碼的功能,多次嘗試輸入不同的 電郵地址。因為現時系統會提示所填入的電郵地址是否屬實,令黑客可以判斷這些電郵地址是否屬於香港郵政的用戶,於是成功取得了這 7,249 個電郵地址。當黑客確認電郵地址屬香港郵政的用戶,他們便可以利用這些電郵地址偽裝成香港郵政,發送釣魚郵件詐騙用戶,盜取信用卡或者其他個人資料等。因此,即使只是電郵地址被外洩,後果仍可相當嚴重。
對於是次外洩事件,香港郵政表示,在發現事故後已即時通知受影響的帳戶持有人,並加強了其系統的安全措施。同時,郵政亦已通報警方及私隱專員公署,並尋求政府資科辦的建議。香港郵政也提醒市民,如收到任何聲稱由其發出的 可疑電郵或短訊,切勿點擊其中的連結或提供個人資料。
今次事件亦揭示了一個網絡安全的盲點,就是香港郵政的「忘記密碼」頁面設計存在問題,當用戶嘗試重設密碼時,系統會顯示電郵地址是否已註冊,間接為黑客提供了資訊。其實類似的情況在很多需要登入的網頁亦經常發生,不過大家已經習以為常。以往只是取得電郵地址未必是一個問題,可是現在騙徒就連一個電郵地址也不放過,更可以透過正確的電郵地址發送釣魚郵件,令到市民容易信以為真,防不勝防。
我建議香港郵政應改變其頁面設計,當用戶需重設密碼,輸入電郵地址時,系統不再辨識該電郵地址是否已註冊,亦無需提醒用戶。此外,系統亦應該加入「圖靈測試」 (Turing Test),例如 CAPTCHA 驗證碼或者 RECAPTCHA 圖片驗證,以確保登入者是人類而非機器人。同時,應注意用戶的 IP 地址,如果某一 IP 地址頻繁嘗試為不同的用戶重設密碼,則該地址應被視為可疑,系統便應該拒絕此用戶的重設密碼或其他要求。
回顧此次事件,可見網絡安全不僅是技術問題,更是一個系統設計的問題。只有不斷更新和改善,才能真正保護用戶的個人資料不被外洩。冀此次事件能為相關部門敲響警鐘,並加強網絡保安措施,保護市民的隱私。