探射燈:下載小工具 兩分鐘變私隱大盜
互聯網掀起洩密風暴!日前有商業機構網站疑遭黑客入侵,洩漏九千名客戶資料,事件令人震驚。本報記者近日經特殊渠道獲得短片,揭發本港大量網站均有嚴重保安漏洞,部分學術機構將師生資料上傳網站,惟保安形同虛設,黑客只需兩分鐘,便可入侵一所學校網站,成功獵取逾八百名學生的個人資料。記者追查後更發現,任何人只要在網上下載小工具,即可化身「私隱大盜」,向設有數據庫(database)的網站埋手。專家警告黑客攻擊極之普遍,機構應注意網絡安全,否則後果不堪設想!
「好多香港網站,其實都有好大嘅保安漏洞!」黑客阿明(化名)透露,現時本港不少網站均設有數據庫,除了儲存公開的網頁內容,更會有保密的管理員帳號,以及各種個人資料,「例如學校網站會有師生資料,商業機構會有客戶資料,不過好多人都冇諗過,表面上啲資料收得好埋,其實(黑客)要偷根本易如反掌。」
「注入式」攻擊 可自動運作
記者近日透過特殊渠道獲得兩段短片,其中一段短片顯示有人操控一個電腦軟件,並分析本港一間大專學府的網址。操控者點擊「獲取數據庫」按鍵,軟件便開始自動搜尋該學校網頁伺服器上存的數據庫,並直接下載,過程僅兩分鐘。短片最後更展示成果,操控者成功下載一個儲存姓名、身份證號碼、電話號碼及住址的數據庫,總數超過八百名,相信是該校學生的個人資料。另一短片內容相若,惟目標數據庫來自一間中學。
阿明解釋,上述入侵稱為「注入式」攻擊,「係一種超級簡單嘅入侵方法,要用嘅工具都可以下載到」;而使用者只要在任何網絡搜尋器搜得目標網址,即可嘗試入侵。他向記者展示該類黑客軟件,並指軟件簡單易用,不少選項也可自動運作,「雖然有啲server(伺服器)冇放個人資料,但就會有管理員account(帳戶),拎到之後又可以有另一種用法。」
「呢類(黑客)攻擊喺香港好普遍!」香港電腦保安事故協調中心高級顧問梁兆昌表示,現時不少網站均會設有數據庫,透過接收指令並作出回應,與瀏覽者互動,惟當網站存有漏洞,黑客便可輸入特定指令,「直接拎晒(數據庫中)所有資料出嚟」,假如數據庫中儲存敏感資料,亦會一併被偷走。
管理員帳戶被盜 後果嚴重
香港專業教育學院(屯門)資訊及通訊科技系系主任梁秉雄指,若黑客取得系統的管理員帳戶,「等如控制咗成部電腦」,可導致嚴重後果,例如網站遭利用發放假消息,又或持續收集其他用戶資料;若外洩資料涉及身份證號碼或銀行戶口,更隨時被用作行騙。教育評議會副主席何漢權指,事件涉個人私隱問題,各學術機構應該正視,惟預防勝於治療,當局在推行電子學習時,應備有一個完整的發展藍圖,為院校提供適當指引,避免資料外洩。
針對上述情況,其中一間電子學習平台開發商發言人表示,曾收過有學校報告指某些網站有保安問題,該公司會即時跟進,保障使用者,並會全面檢討系統的保安情況。
教育局發言人表示,當局制訂了一份資訊科技保安文件,供學校參考,亦會定期與不同部門及機構合作,推廣教育活動,讓師生認識資訊保安的趨勢及防禦措施。
圖/文:專案組