消委會今早舉行記者招待會,交待日前被黑客入侵系統的事件,受影響的人士包括現任及前任員工、月刊訂戶、部分消費投訴人士及合作夥伴。黑客向消委會勒索 50 萬元。消委會強烈譴責入侵事件,已經向警方報案,並向私隱專員公署通報,表明不會交付贖金,並向受影人士道歉。
消委會指黑客在 9 月 19 日傍晚入侵系統,攻擊為時約 7 小時,流量較平時多 65GB,80% 系統受影響,包括電郵系統。消委會員工 20 日早上發現電腦被勒索軟件鎖上而發現事件。黑客同時向消委會發出勒索電郵,要求消委會 9 月 23 日 11:20PM 前交付 50 萬美元贖金,限時後會加價至 70 萬美元。被鎖上後已經向警方報案,並向私隱專員公署通報。消委會表明不會交付贖金。
消委會列出 4 類可能受影響人士,包括:
- 現任員工及前員工個人和親屬資料、與及近兩年的應徵者
- 約 8,000 名曾向消委會提供信用卡資料的月刊訂戶
- 消費投訴人士
- 合作夥伴的資料包括電郵和手機號碼
實際外洩規模要等黑客撕票
消委會表示受現時科技限制,未能完全知道受影響的規模,要等待黑客撕票後才能知道外洩資料細節。而由於投訴處理系統獨立運作,現時調查系統正常,相信受影響人數不多。但由於有部分投訴個案資料會在受入侵系統處理,以不排除有投訴人部分資料被洩。
消委會的投訴熱線和格價系統曾一度停止運作,現在已經恢復正常,但月刊訂閱的系統仍未恢復。
消委會指鑑證專家已斷定攻擊來源,透過甚麼渠道入侵,事件源於系統漏洞,並非有員工點擊釣魚電郵連結而被入侵,但因為正在調查而不便公開細節。
消委會表示該會有預留資源作系統防護和更新,有購買防毒軟件,定期有做系統保安強度測試。員工不能隨意安裝軟件,亦有長時間監察系統做備份,可以回復系統,並有按照市場最佳操作而進行定時系統升級。但他們表示黑客無孔不入,防不勝防,系統最終仍然被入侵,向受影響人士致歉。
消委會會接觸可能受影響人士,並呼籲有關人士不要點擊可疑電郵連結。