人口統計網卷揭保安漏洞 政府凌晨緊急修復
【星島日報報道】政府中期人口統計繼普查員平板電腦國產充電器「尿袋」爆炸後,昨再被揭網上問卷系統伺服器易受攻擊,市民資料有外泄危機。有團體測試發現,中期人口統計電子問卷、流動程式的伺服器,均容易受到解密技術「POODLE」攻擊。據了解,有關部門昨凌晨曾緊急修復系統漏洞,而統計處昨晚回覆本報強調沒證據顯示系統有遭入侵。
網民組織「鍵盤戰線」分析專門測試網站保安程度的Qualys, Inc向公眾提供的SSL Labs報告,顯示統計處中期人口統計的網頁電子問卷、流動應用程式連接的伺服器,均容易受解密技術「POODLE」攻擊,評估報告更將今次人口統計伺服器保安水平,評為不及格的F級;又指出當統計員用平板連接到政府伺服器時,加密連接會降級到舊版,容易出現被黑客入侵偷取資料危機,認為有關伺服器很不安全。
「鍵盤戰線」網上公開消息後,政府昨凌晨迅速緊急修復加密。「鍵盤戰線」稱已就報告結果,去信政府資訊科技總監辦公室、私隱專員及申訴專員公署等,認為政府未盡責確保電子問卷保安系統,質疑有部門失職,令市民資料外泄風險上升。據了解,有關部門收到通知後,昨凌晨曾緊急修復系統漏洞。
統計處回覆本報查詢指,政府資訊科技總監辦公室及獨立安全審計顧問均已確認,現時的電子問卷系統符合政府資訊保安要求,並指系統外泄資料風險非常低,且沒證據顯示系統有遭入侵迹象,市民可放心使用。
香港互聯網協會互聯網安全及私隱小組召集人楊和生指,如現POODLE攻擊,反映系統特定情況下有安全漏洞,易被破解,雖不屬高風險,但政府系統理應不易受POODLE攻擊。當局人員可能未有全面測試這風險,否則只須更改設定已可。另一危機,可能住戶上網自行填寫問卷時,用不安全公共WiFi或家用WiFi,上載時會被解密,個人資料或外泄;但若以3G或4G寬頻上網,電訊商已做好安全設定。
另外,衞生署臨牀訊息管理系統疑被黑客入侵後九天才揭發,涉一萬七千個市民檔案受黑客瀏覽風險。
衞生署昨繼續積極調查,進一步透露疑外泄約一萬七千個臨時檔案中,大部分屬pdf格式,署方現正個別檢視,了解是否載有可識別身分的個人及臨牀資料。
