香港城巿大學上月宣布獲一項全球屈指可數的高標準國際性資訊保安認證,但在今年六月及八月的短短三個月裏,該校校內電腦系統竟兩度遭黑客入侵,逾兩萬名師生及用戶的帳戶密碼恐已被盜取。有城大中人懷疑,校方正因為要取得電腦保安認證,故低調處理入侵事件,不像香港大學和中文大學主動對外公布及即時通知師生和校友,令很多受害人被蒙在鼓裏。城大聲稱已報警備案,又指因沒有接獲用戶資料被盜的投訴,暫未向個人資料私隱專員公署報告。
本報獲得兩封城大電腦服務中心發出的電郵,均是通報發生黑客入侵電腦事故。第一封電郵在七月一日發出,指六月廿八日下午五時,中央電腦系統懷疑遭黑客入侵,翌日早上修復電腦系統。換言之,校方並非在得悉入侵事件後,即時通知受影響人士,而中央電腦系統分別支援MS Office 365、Student LAN、Wireless LAN、VPN及CityUWiki,用戶層面應相當廣泛。
另一封電郵則於本月九日發出,指有部門發現伺服器遭黑客入侵並盜取用戶帳號密碼後登入其他系統,由於「用戶的帳戶密碼極大可能已被黑客盜取」,城大電腦服務中心建議用戶立即更改密碼。如用戶使用同一密碼登入中央電腦系統,亦建議一併更換密碼。但該郵件未有交代事發的日期時間。
有城大師生慨嘆,城大中央電腦系統竟遭黑客入侵,獲英國標準學會頒發的資訊保安ISO證書又有何用?更質疑校方是否只顧吹噓獲認證,而無時間去執行電腦保安工作。
城大回覆本報查詢時,未有提供電腦系統用戶人數的資料,只稱沒有接獲用戶投訴資料被盜。發言人強調,城大校方非常重視大學電腦系統的安全,一直採用多層安全防禦機制以抵禦黑客入侵,若發現第一層防禦機制受到相對於一般較強勁的攻擊,即使有關攻擊不能入侵系統的更深層、沒有對用戶構成影響,也會盡快通知用戶電腦系統受到攻擊,建議他們提高警覺,加強防範,並更改密碼。
記者陳素貞