HKCERT 提醒公眾和中小企近期資料外洩事故上升的風險

(香港,2025年10月17日)近期資料外洩事故頻生,澳洲航空(Qantas)一個第三方服務平台更因遭受社交工程攻擊,導致570萬客戶資料被盜,其中約20,000名香港客戶受到影響。外洩的姓名、電話及地址等資料,恐令受害人面臨釣魚攻擊與詐騙風險。目前個人資料私隱專員公署已接獲通報並就事件展開調查。

黑客將570萬名用戶的個人資料外洩至暗網上黑客將570萬名用戶的個人資料外洩至暗網上

黑客通過澳洲航空第三方服務供應商在菲律賓的客服中心,利用社交工程等手法(如語音釣魚),誘騙第三方服務供應商的工作人員授予訪問權限,從而竊取客戶資料。事件突顯供應鏈攻擊日益普遍帶來的風險。黑客往往會針對第三方服務供應商的漏洞,藉此作為攻擊更大型機構的跳板。即使是中小企,假如忽視自身的網絡安全防護,亦可能會成為網絡攻擊的對象。

與此同時,香港蔬菜統營處(菜統處)近日有部分電腦系統遭受勒索軟件攻擊,導致其中一個批發市場用戶的資料有外洩的風險。菜統處現時已委托外判承辦商,盡快修復系統並協助調查工作;網絡安全供應商 F5 近日亦公布過去八月,其內部系統遭受長期持續性網絡攻擊。黑客從中盜取其產品的原始碼和未向外公布的系統漏洞,估計黑客有利用外洩的資料策劃對其產品用戶作網路攻擊。這些事件均可見使用第三方服務供應商的風險,及鞏固網絡安全措施的重要性。鑑於事件的規模和潛在威脅,為預防第三方網絡風險,以及加強自身網絡安全,香港網絡安全事故協調中心(HKCERT)建議用戶和中小企採取以下措施:

  1. 時刻提防釣魚攻擊
    時刻核實電子郵件的發件人,並避免點擊任何可疑連結。對於緊急或異常的請求要保持警惕,立即向你的 IT 或電腦安全團隊報告可疑訊息。如欲了解更多有關預防釣魚攻擊的措施,請瀏覽: https://www.hkcert.org/tc/publications/all-out-anti-phishing
     
  2. 啟用多重因素驗證,加強帳戶保安
    網絡服務商會提供多重因素驗證選項,要求用戶輸入驗證碼或額外授權才讓其登入,以免當用戶不慎洩露密碼給黑客後而被盜用帳戶。同時,企業應加強培訓員工,防止多重因素驗證驗證碼洩露予他人的行為,不同帳戶間亦不應該使用相同密碼。
     
  3. 審慎選用免費及開源軟件
    免費或開源工具雖有成本優勢,但若企業未經審查便使用,則容易引入漏洞。因此,企業應選用信譽良好的軟件,並對引入的軟件進行安全審查。
     
  4. 定期更新系統
    所有系統、應用程式及裝置應保持最新版本,並及時安裝安全補丁,以堵塞漏洞。
     
  5. 提升社交工程防範意識
    透過社交工程進行的攻擊屢見不鮮,機構應定期為員工提供培訓,提升其識別釣魚電郵及可疑來電的能力,減少人為疏忽導致資料外洩的風險。
     

四大措施保障自身安全
澳洲航空雖已確認事件中並未涉及客戶的財務資料、護照信息或帳戶密碼。然而,敏感個人資料被洩露至暗網可能引發身份盜用、釣魚攻擊及其他欺詐活動的風險。 HKCERT 強調主動防護個人資料刻不容緩,並建議受影響人士採取以下措施:

  1. 定期監控帳戶
    定期檢查你的電郵、電話及財務帳戶是否有可疑活動。 若發現未經授權的交易或異常活動,請立即通報相關機構。 
     
  2. 提防釣魚攻擊
    對聲稱來自澳洲航空或相關機構的電郵、電話或信息保持警惕。 避免點擊可疑鏈接和小心處理可疑電郵、訊息及來電,切勿輕易提供個人或登入資料。 
     
  3. 啟用多重身份驗證(MFA)
    主要帳戶加設多重認證,提高安全層次。切勿與他人分享驗證碼。
     
  4. 定期更改密碼
    定期更改所有重要帳戶的密碼,並避免多個帳戶共用同一密碼。 
     

如欲了解更多帳戶安全的建議,請瀏覽:

  1. https://www.hkcert.org/tc/blog/the-hidden-dangers-of-third-party-risk-lessons-from-the-recent-data-breaches
  2. https://www.hkcert.org/tc/blog/16-billion-account-passwords-leaked-worldwide-hkcert-urges-users-to-review-account-security-and-stay-vigilant
  3. https://www.hkcert.org/tc/blog/beware-of-cyber-attack-protect-personal-information
     

立即參加!香港網絡安全高峰會2025

香港網絡安全高峰會2025

由生產力局、HKCERT聯同香港10多家網絡安全領域組織合辦的香港網絡安全高峰會2025將於11月6日至7日在香港灣仔香港會議展覽中心舉行。作為香港網絡安全行業的年度國際旗艦盛事,今年高峰會以「構建未來數字基礎設施:運用人工智能強化安全與韌性(Future-Proofing Digital Infrastructure: Harnessing AI for Enhanced Security and Resilience)」為主題,期望透過一系列演講,探討人工智能提升數字基礎設施抵禦網絡威脅能力的路徑,提供網絡安全最新趨勢和前沿發展的深入見解。

本次高峰會內容豐富,星級講者陣容鼎盛,包括數字政策專員黃志光先生、個人資料私隱專員鍾麗玲女士、保安局關鍵基礎設施助理總監陳永安先生,以及香港警務處網絡安全及科技罪案調查科警司許綺惠女士。 參會者將一連兩日與專家講者交流想法,了解最新的網絡安全趨勢。 活動費用全免! 立即報名:https://www.cssummit.hk/registration/

- 完 -

緊貼我們
訂閱生產力局電子報

透過電郵取得本局的最新資訊

請即註冊

服務

支援和資源

創科錄

關於香港生產力促進局

私隱聲明 使用本網站表示你接受有關的使用條款 職業健康及安全政策 (PDF版) 惡劣天氣下的服務安排 網站指南 聯絡我們
© 香港生產力促進局 版權所有,不得轉載
首頁 線上對話 聯絡我們 職位空缺
招標資料 訂閱