郵政保安疏漏 私隱落黑客手 專家籲7000用戶防釣魚電郵

方保僑昨日在電台節目表示，電郵地址難以嘗試猜測，估計黑客利用網絡抓取技術，獲取被公開的電郵地址資料，然後再在香港郵政的電郵系統逐個嘗試登入。如果電郵屬於香港郵政客戶，即使不知道密碼，系統也會提示「重設密碼」，而讓黑客得知電郵屬於該客戶。

他估計，黑客有機會向這些電郵地址發出釣魚電郵，訛稱購買首日封等郵品時欠款，需要客戶在網上提供信用卡資料完成交易時而進行詐騙。

他認為，香港郵政網站系統設計有漏洞，保安方面應該與時並進，包括不告訴登入者電郵地址是否正確，甚或當有人多次嘗試登入時，系統應能看到IP地址，可以進行封鎖，而非讓該人嘗試登入數千甚至幾十萬次。政府會不時檢討審視各部門的網絡保安系統，他也建議政府資訊科技總監辦公室及其他政府部門，同需要經常審視網絡系統及保安核查，若發現漏洞要盡快更改。

香港郵政日前表示，發現有未經授權人士，利用香港郵政的電子服務功能，多次嘗試及猜測香港郵政帳戶持有人的登記電郵地址，並「碰巧」取得7,249個帳戶持有人用作登記香港郵政帳戶的電郵地址，已就事件報案，並通知相關人士注意可疑電郵或不知名的通訊。

香港郵政指事件只涉及帳戶持有人的電郵地址，未經授權的人士並沒有取得相關帳戶持有人的個人資料，例如帳戶登入名稱和密碼，以及在香港郵政的交易紀錄；亦沒有發現相關資料被洩漏或竄改的迹象，或偵測到有關帳戶有任何可疑的活動情況。香港郵政表示已立即採取多項措施，進一步加強系統安全。