近期多間企業先後發生資訊保安事故,導致消費者或用戶個人資料外洩,不少市民對事故感到無助。有涉事公司於事故發生後,為受害人提供免費第三方身份監察服務,但用戶對這類服務的作用及風險存在不少疑問。

身份監察服務供應商眾多,有免費的,也有收費的,所提供的監察資料對象各有不同。這類監察服務主要透過專門的搜尋技術,監察用戶資料有否於暗網或其他非法網站中被公開或出售。若發現用戶資料被公開,監察系統會即時通知用戶,用戶可根據情報採取適當的應對措施,以減低資料外洩的損失。例如:當發現信用卡資料被放售時,用戶應立即通知發卡銀行註銷該信用卡;或當發現帳戶密碼被外洩時,用戶應立即更改密碼,同時提防相關的勒索電郵。

然而,身份監察服務只能發揮警示作用,不能預防或避免個人資料和數據外洩。即使個人資料在暗網等非法網站出現,身份監察服務供應商也不能要求網站刪除當中的外洩個人資料。

另一方面,用戶將個人資料交予身份監察服務供應商保管,也有機會增加資料二次外洩的風險,衍生其他問題。由於這類公司擁有大量且齊全的用戶個人資料,所以往往成為黑客的攻擊目標。去年七月,美國最大信用報告調查機構受到駭客攻擊,導致大量客戶資料外洩,建議用戶在選擇這類服務時,應考慮機構本身的信譽及安全,避免資料遭到二次外洩。

無論市民是否選用這類服務,也應加強保護個人資料意識。香港電腦保安事協調中心重申,身份監察服務只能減低資料外洩後的損失,而不能預防或避免資料外洩。養成良好的電腦和互聯網使用習慣,時常警惕網絡詐騙,才是保障個人資料、免招損失的上策。

如欲了解更多電腦保安資訊,請參閱香港電腦保安事協調中心網址:www.hkcert.org。