香港寬頻遭黑客入侵伺服器,一個資料庫約三十八萬名固網及IDD服務客戶紀錄洩漏,涉及約四點三萬條信用卡資料。香港寬頻昨交代事件承認涉事伺服器未有做加密及撤走所儲存資料,部分更自二○○六年儲存至今,但辯說遭入侵屬個別例子,強調其他資料庫均十分安全,設有多重保障及已做加密,未來不再儲存客戶完整的信用卡及身份證資料。他又指,警方已到公司調查,目前不便透露詳情,暫未有黑客就盜取資料而作任何勒索或威脅。
香港寬頻持股管理人及行政總裁楊主光昨表示,了解過《稅務條例》後,得悉公司只需保留七年財務資料,而非客戶資料,故決定不再保留過舊資料,「令黑客不會有興趣」。香港寬頻現時約有三百六十萬名客戶資料,其中九十萬名為舊客戶,會於三個月內清除所有舊客戶資料。現存的二百七十萬名客戶日後若停用服務,資料亦只會保留半年後清除,更會以「治本」方法加強防禦,儲存現存客戶資料時,除姓名、電話、住址及電郵地址外,不會儲存客戶完整的身份證及信用卡資料。
楊說,新做法例如只會隨機記錄身份證四個數字且不包括括號內數字,信用卡只會記錄首六個及尾四個數字,相信此舉已足以認證客戶身份,亦會用一組代號取代信用卡號碼以完成銀行之間的交易,經諮詢相關政府部門意見後會在三個月內實行。如客戶能證明因是次資料外洩導致損失,會個別跟進,不排除依法例賠償。
新客戶方面,楊主光指初步會先索取全面客戶資料,包括完整的身份證號碼及信用卡資料以辦理手續,啟動服務後,會在三個月內將身份證號碼及信用卡資料根據上述做法處理。他又指,今次遭黑客入侵約三十八萬名客戶資料中,有逾二十二萬名屬IDD用戶,未來三個月會通知在過往半年未曾使用IDD服務的客戶,若同意不再使用服務,會清除所有個人資料。截至昨日,香港個人資料私隱專員公署接獲共四十一宗與事件相關的查詢及投訴。
資訊科技界立法會議員莫乃光指,香港寬頻沒有加密客戶的資料及將伺服器離線是難以理解,形容有關做法猶如是零設防,「個黑客係咪有超前技術我就唔知,不過佢(香港寬頻)就肯定是低防禦囉!」他又批評,該公司不但將客戶資料放在危險位置,部分更儲存長達十二年,認為是「雙重失責」,促請該公司盡快更正。
立法會議員葛珮帆認為,刪除舊客戶資料重要,需要由具公信力的第三方驗收,確保已完成清除舊有客戶資料。她認為事件反映員工的安全意識及警覺性不足,需加強培訓,而非只改善硬件。