最近一項長跑活動的網上報名系統懷疑遭未授權登入,導致部分參賽者的個人資料可能外洩,當中包括申請者的地址、電話、身份證首5位數字、出生日期、電郵、緊急聯絡人等,情況頗為嚴重。

事件在優先報名階段發現,主辦單位即時暫停網上系統運作,修補系統漏洞,並向個人資料私隱專員公署提交報告。有電腦保安專家估計,事件起因可能是網頁保安設定不足,沒有將報名資料檔案加密,造成保安漏洞。

這再次響起網上應用程式的安全警號,提醒企業和程式開發人員必須慎重處理個人資料,保護私隱。香港電腦保安事協調中心敦促所有企業,由設計系統和程式的階段開始,已經要採取網絡安全和私隱保障措施(Security and Privacy by Design),並遵循個人資料私隱專員公署的資料保安原則,盡量保障個人資料不會在未經授權下或意外地被查閱、處理、刪除、喪失或使用。

在開發系統的過程中,尤其是在系統發布之前,企業應儘快和定期進行安全評估,以識別和修補安全漏洞,及早解決系統設計上的缺陷。另外,企業開發任何網上應用程式,都必須將敏感資料加密,然後儲存在內部伺服器,為數據提供最基本的保護。

今次的受害人和其他報名人士應小心留意可能出現的騙案,如發現個人資料被盜用或涉及詐騙等刑事罪行,應儘快報警求助。

如欲了解更多有關網絡伺服器、網上應用程式和數據庫伺服器的保安方法,請參閱香港電腦保安事協調中心發布的「網上應用程式保安預防措施指南」,網址:www.hkcert.org。