最近一项长跑活动的网上报名系统怀疑遭未授权登入,导致部分参赛者的个人资料可能外洩,当中包括申请者的地址、电话、身份证首5位数字、出生日期、电邮、紧急联络人等,情况颇为严重。

事件在优先报名阶段发现,主办单位即时暂停网上系统运作,修补系统漏洞,并向个人资料私隐专员公署提交报告。有电脑保安专家估计,事件起因可能是网页保安设定不足,没有将报名资料档案加密,造成保安漏洞。

这再次响起网上应用程式的安全警号,提醒企业和程式开发人员必须慎重处理个人资料,保护私隐。香港电脑保安事协调中心敦促所有企业,由设计系统和程式的阶段开始,已经要採取网络安全和私隐保障措施(Security and Privacy by Design),并遵循个人资料私隐专员公署的资料保安原则,尽量保障个人资料不会在未经授权下或意外地被查阅、处理、删除、丧失或使用。

在开发系统的过程中,尤其是在系统发布之前,企业应尽快和定期进行安全评估,以识别和修补安全漏洞,及早解决系统设计上的缺陷。另外,企业开发任何网上应用程式,都必须将敏感资料加密,然后储存在内部伺服器,为数据提供最基本的保护。

今次的受害人和其他报名人士应小心留意可能出现的骗案,如发现个人资料被盗用或涉及诈骗等刑事罪行,应尽快报警求助。

如欲了解更多有关网络伺服器、网上应用程式和数据库伺服器的保安方法,请参阅香港电脑保安事协调中心发布的「网上应用程式保安预防措施指南」,网址:www.hkcert.org。