近期多间企业先后发生资讯保安事故,导致消费者或用户个人资料外洩,不少市民对事故感到无助。有涉事公司于事故发生后,为受害人提供免费第三方身份监察服务,但用户对这类服务的作用及风险存在不少疑问。

身份监察服务供应商众多,有免费的,也有收费的,所提供的监察资料对象各有不同。这类监察服务主要透过专门的搜寻技术,监察用户资料有否于暗网或其他非法网站中被公开或出售。若发现用户资料被公开,监察系统会即时通知用户,用户可根据情报採取适当的应对措施,以减低资料外洩的损失。例如:当发现信用卡资料被放售时,用户应立即通知发卡银行註销该信用卡;或当发现帐户密码被外洩时,用户应立即更改密码,同时提防相关的勒索电邮。

然而,身份监察服务只能发挥警示作用,不能预防或避免个人资料和数据外洩。即使个人资料在暗网等非法网站出现,身份监察服务供应商也不能要求网站删除当中的外洩个人资料。

另一方面,用户将个人资料交予身份监察服务供应商保管,也有机会增加资料二次外洩的风险,衍生其他问题。由于这类公司拥有大量且齐全的用户个人资料,所以往往成为黑客的攻击目标。去年七月,美国最大信用报告调查机构受到骇客攻击,导致大量客户资料外洩,建议用户在选择这类服务时,应考虑机构本身的信誉及安全,避免资料遭到二次外洩。

无论市民是否选用这类服务,也应加强保护个人资料意识。香港电脑保安事协调中心重申,身份监察服务只能减低资料外洩后的损失,而不能预防或避免资料外洩。养成良好的电脑和互联网使用习惯,时常警惕网络诈骗,才是保障个人资料、免招损失的上策。

如欲了解更多电脑保安资讯,请参阅香港电脑保安事协调中心网址:www.hkcert.org。