HKCERT 提醒公众和中小企近期资料外泄事故上升的风险

(香港,2025年10月17日)近期资料外泄事故频生,澳洲航空(Qantas)一个第三方服务平台更因遭受社交工程攻击,导致570万客户资料被盗,其中约20,000名香港客户受到影响。外泄的姓名、电话及地址等资料,恐令受害人面临钓鱼攻击与诈骗风险。目前个人资料隐私专员公署已接获通报并就事件展开调查。

黑客将570万名用户的个人资料外泄至暗网上黑客将570万名用户的个人资料外泄至暗网上

黑客通过澳洲航空第三方服务供应商在菲律宾的客服中心,利用社交工程等手法(如语音钓鱼),诱骗第三方服务供应商的工作人员授予访问权限,从而窃取客户资料。事件突显供应链攻击日益普遍带来的风险。黑客往往会针对第三方服务供应商的漏洞,借此作为攻击更大型机构的跳板。即使是中小企,假如忽视自身的网络安全防护,亦可能会成为网络攻击的对象。

与此同时,香港蔬菜统营处(菜统处)近日有部分电脑系统遭受勒索软件攻击,导致其中一个批发市场用户的资料有外泄的风险。菜统处现时已委托外判承办商,尽快修复系统并协助调查工作;网络安全供应商 F5 近日亦公布过去八月,其内部系统遭受长期持续性网络攻击。黑客从中盗取其产品的源代码和未向外公布的系统漏洞,估计黑客有利用外泄的资料策划对其产品用户作网络攻击。这些事件均可见使用第三方服务供应商的风险,及巩固网络安全措施的重要性。鉴于事件的规模和潜在威胁,为预防第三方网络风险,以及加强自身网络安全,香港网络安全事故协调中心(HKCERT)建议用戶和中小企采取以下措施:

  1. 时刻提防钓鱼攻击
    时刻核实电子邮件的发件人,并避免点击任何可疑连结。对于紧急或异常的请求要保持警惕,立即向你的 IT 或电脑安全团队报告可疑讯息。如欲了解更多有关预防钓鱼攻击的措施,请浏览: https://www.hkcert.org/tc/publications/all-out-anti-phishing
     
  2. 启用多重因素验证,加强账户保安
    网络服务商会提供多重因素验证选项,要求用户输入验证码或额外授权才让其登入,以免当用户不慎泄露密码给黑客后而被盗用账户。同时,企业应加强培训员工,防止多重因素验证验证码泄露予他人的行为,不同账户间亦不应该使用相同密码。
     
  3. 审慎选用免费及开源软件
    免费或开源工具虽有成本优势,但若企业未经审查便使用,则容易引入漏洞。因此,企业应选用信誉良好的软件,并对引入的软件进行安全审查。
     
  4. 定期更新系统
    所有系统、应用程序及装置应保持最新版本,并及时安装安全补丁,以堵塞漏洞。
     
  5. 提升社交工程防范意识
    透过社交工程进行的攻击屡见不鲜,机构应定期为员工提供培训,提升其识别钓鱼电邮及可疑来电的能力,减少人为疏忽导致资料外泄的风险。
     

四大措施保障自身安全
澳洲航空虽已确认事件中并未涉及客户的财务资料、护照信息或账户密码。然而,敏感个人资料被泄露至暗网可能引发身份盗用、钓鱼攻击及其他欺诈活动的风险。 HKCERT 强调主动防护个人资料刻不容缓,并建议受影响人士采取以下措施:

  1. 定期监控账户
    定期检查你的电邮、电话及财务账户是否有可疑活动。 若发现未经授权的交易或异常活动,请立即通报相关机构。
     
  2. 提防钓鱼攻击
    对声称来自澳洲航空或相关机构的电邮、电话或信息保持警惕。 避免点击可疑链接和小心处理可疑电邮、讯息及来电,切勿轻易提供个人或登入资料。
     
  3. 启用多重身份验证(MFA)
    主要账户加设多重认证,提高安全层次。切勿与他人分享验证码。
     
  4. 定期更改密码
    定期更改所有重要账户的密码,并避免多个账户共用同一密码。
     

如欲了解更多账户安全的建议,请浏览:

  1. https://www.hkcert.org/tc/blog/the-hidden-dangers-of-third-party-risk-lessons-from-the-recent-data-breaches
  2. https://www.hkcert.org/tc/blog/16-billion-account-passwords-leaked-worldwide-hkcert-urges-users-to-review-account-security-and-stay-vigilant
  3. https://www.hkcert.org/tc/blog/beware-of-cyber-attack-protect-personal-information
     

立即参加!香港网络安全高峰会2025

香港网络安全高峰会2025

由生产力局、HKCERT联同香港10多家网络安全领域组织合办的香港网络安全高峰会2025将于11月6日至7日在香港湾仔香港会议展览中心举行。作为香港网络安全行业的年度国际旗舰盛事,今年高峰会以“构建未来数字基础设施:运用人工智能强化安全与韧性(Future-Proofing Digital Infrastructure: Harnessing AI for Enhanced Security and Resilience)”为主题,期望透过一系列演讲,探讨人工智能提升数字基础设施抵御网络威胁能力的路径,提供网络安全最新趋势和前沿发展的深入见解。

本次高峰会内容丰富,星级讲者阵容鼎盛,包括数字政策专员黄志光先生、个人资料隐私专员锺丽玲女士、保安局关键基础设施助理总监陈永安先生,以及香港警务处网络安全及科技罪案调查科警司许绮惠女士。 参会者将一连两日与专家讲者交流想法,了解最新的网络安全趋势。 活动费用全免! 立即报名:https://www.cssummit.hk/registration/

- 完 -

紧贴我们
订阅香港生产力促进局电子报

透过电邮取得本局的最新资讯

请即注册

服务

支援和资源

创科录

关于香港生产力促进局

私隐声明 使用本网站表示你接受有关的使用条款 职业健康及安全政策 (PDF版) 恶劣天气下的服务安排 网站指南 联络我们

© 香港生产力促进局 版权所有,不得转载

首页 线上对话 联络我们 职位空缺
招标资料 订阅