多得八達通日日賞,讓香港人明白個人資料如身份證、地址,其實可變賣成花碌碌的銀紙。
私隱有市有價,但原來不用任何公司出賣大眾,單靠網上搜尋器Google,已可輕易查得對面學校小強、隔籬屋陳太,及樓下商場售貨員黃小姐的私人資料。本
刊與電腦保安專家合作,利用Google進行一次大搜查,結果上市公司的董事、經理僱傭合約,甚至賣殼配股絕密文件,都一覽無遺。
有搵工網及公司,要求求職者將履歷表上載。求職者哪會想到,自己的照片、學歷、地址,甚至會考成績,統統打開肚皮任君在網上瀏覽。
更有名校如聖若瑟英文書院、培正中學等,因曾將學生的姓名、電話、老師住址等在內聯網上存放,而誤墮Google陷阱,學生資料毫無保障。
上 週五復活節,記者來到飲食集團德興(現已易名中核工業二三國際)在尖東的辦公室,找到集團創辦人陳樹傑之子、兼執行董事陳顥文。這個飲食王國旗下有十二間 食肆包括火鍋海鮮酒家、新滬店拉麵小籠包、聚德軒粵菜酒家等,分店遍布港九新界,另還經營旺角新天地酒店和尖沙咀新天地酒店。 德興於去年被直屬國資委的中國核工業建設集團,旗下的中國核工業二三建設,以可換股債券形式入股,令股價大上大落。與新投資者周旋之際,德興亦與原有董事 及高級管理層續約。 要知道太子爺陳顥文數十萬的年薪準確數字、年終花紅有幾多、甚至一年有幾多日有薪假期,原來統統可以在Google上查到。此外,網上還可找到六位執董簽 名的續聘合約。另外總經理宋利民在去年八月新續的僱傭合約,寫明「private and confidential」,卻在網上公開。
全港有十二間分店的德興,有多份內部文件在網上外洩。上週五,記者到德興辦公室,向執董陳顥文展示從網上搜得的董事僱傭合約,他只道:「我要再了解吓。」但截稿前沒再回覆調查結果。
上市交易密件外洩
德 興在網上洩露的四十多份文件中,包括公司與多間商人銀行的合約、信件等。在去年十二月,德興與中國核工業二三的財務顧問亞貝資本的信件中開首寫明: 「strictly private and confidential。」其餘文件亦包括股份轉讓協議書等。 記者向陳顥文遞上在Google上搜得的合約,陳顥文小心查看後,緊張問:「你仲有咩嘢文件?」又牽強解釋:「上市公司每次更新完僱傭合約,資料都要公開 啦,唔係咁 confidential。」但其中一份合約上寫明private and confidential啊,陳回應:「呢個我要再了解吓。」 為本刊利用Google在網上進行搜查的華爾基利訊息安全研究組織創辦人賴灼東說:「上市公司董事的薪金最多係 年報公開,年報還年報,點會將成份僱傭合約俾人睇!」 賴解釋,只要在Google上輸入一個指令及有關公司網址,再加上一些關鍵字如confidential、contract,或者限定文件種類如 xls(Excel format)、pdf(Portable document format)等再搜尋,便可查得網站有否外洩內部文件。而有關指令雖然普通市民未必會用,但資訊科技界幾乎無人不懂,原意用來方便縮窄搜查範圍,並非攻 擊網站:「唔係偷佢哋嘢,而係佢哋將文件放上自己網站伺服器,擺喺目錄(Directory)又唔加密碼保護。雖然普通人係入唔到個別網站目錄,但係 Google等搜尋器就可以入到,仲會放喺自己個暫存器或者資料簿,方便其他人快啲搜尋到!」 以相同指令形式搜查,不單可以在Google,還可以用內地搜尋器百度及微軟搜尋器blink找到內部文件。當中以Google的搜尋能力最強,洩密危機 最高。
學生電話地址大放送
本刊與賴灼東合作,以全港近千個結尾為edu.hk註冊的中小學網站,及近數十間著名名校 及國際學校網址,以Google作一次大搜查,以檢查學校網站有否保障學生私隱。記者輸入指令後,會加上學校網址及不同關鍵字,包括contact、 hkid、address、phone等,文件種類包括xls、pdf、doc檔,過程歷時約一個月。結果發現,至少十五間學校網站不設防,當中以洩露學 生姓名、電話及電郵最為普遍,更不乏名校如聖若瑟英文書院、喇沙書院等。
以培正中學為例,本刊發現一份文件,記錄十多名校內人員使用一個名為pc-net.com網站服務的記錄表,內裡詳載了使用者的姓名、家居地址、 電話,甚至有登入名稱及密碼。本刊上週二致電培正中學,校長葉賜添大為緊張,立即要求記者將所得文件電郵給他以作調查,但截稿前未有回應調查結果。
在眾多搜得文件中,最詳細的一份,來自香港教育工作者聯會黃楚標學校,這文件記載了○四至○五的學生名字與班別,其中近二百人有緊急聯絡電話。校 長梁兆棠得悉後甚為動氣,致電記者第一句便是:「你點解會有呢啲資料,我都唔知你搵嚟做乜,係唔係hack入我哋學校?」當記者解釋文件只因學校網站未設 保護以致在Google可搜得時,梁卻稱:「有心人裝無心人,點證明係學校有問題呢?你要搵一定有方法!」又指學校「好難絕對保證到資訊無流出。」
搜查結果亦不乏「蝦碌」資料,例如東華三院辛亥年總理中學洩出一份中一某班的下學期成績,學生中、英、數分數一目了然。至於觀塘功樂官立中學,竟 洩出一份懷疑是老師與舊生ICQ聯絡記錄,當中有學生的電郵、ICQ號碼以及與學生的對話,例如有別名小強的校友「斷咗隻右手做完手術後唔聽人講,去踢 波,扭親右腳,現在休養和失業中……」,亦有校友透露現於瑪嘉烈醫院深切治療部工作等。
「呢個涉及寫網站時程式問題。打個比喻,假設我哋想搵電話號碼,會去黃頁個網站,網站背後有個數據庫儲存晒所有人嘅姓名同電話。但係如果你可以直 接喺Google搵到個電話,咁即係個程式無保護個數據庫,令人可以直接去個數據庫度搵嘢。」香港電腦保安事故協調中心經理古煒德解釋,不少學校會將學生 資料存放於內聯網,因此要注意網站程式會否令資料庫大開中門。
求職者履歷任睇
賴灼東曾經檢查全港求職網,最後搜得近 四十份求職者的履歷表,而洩出履歷表的竟來自同一個求職網站myjobs.com.hk。該網專門吸引中五、中七生找兼職,結果一眾學生哥將自己的照片、 地址、身份證、學歷、電話等個人資料奉上,賴感嘆:「而家好多求職網都會要求求職者將履歷上載去佢哋個網站,由佢哋轉寄俾僱主,但自己又唔做好保護工作。 如果有不法分子搵到,直情可以用嚟整假身份證,再去內地銀行申請信用卡!」 其後,他又發現全港有四十多間分店的Dr.Kong健康鞋專門店,竟同樣將求職者的履歷表上載,結果數十名求職者的履歷全在Google上公開。事後他立 即透過私隱專員公署聯絡兩公司:「佢哋好乖,即刻將自己網站內文件移除,但係因為Google已經將所有檔案抄咗落嚟,結果網上面仍然可以搵到。佢哋唔知 原來要通知Google。我最嬲係私隱專員公署都唔知要咁做,無提醒佢哋!」結果他直接打電話找兩公司,負責人才猛然醒覺。由發現文件到最終在網上完全移 除所有檔案,擾攘個半月。 私隱專員公署回應指不評論個別事件,但指如市民發現個人資料於網上外洩,可以聯絡該公司及搜尋器公司將資料移除,或到公署投訴。而○九年至今,共有十宗相 關投訴,其中兩宗透過調解得到解決,其餘不是撤回就是沒證據而作罷。
市民自求多福
大律師郭榮鏗表示:「根據香港法例 第486章第37條,市民發現私隱外洩,可向私隱專員公署投訴,公署會向洩漏者發出警告同執行通知,要佢哋將資料清除,如果洩漏者唔執行,就可以根據刑事 條例控告。」然而,就連一○年八達通將二百四十萬日日賞客戶資料出售,最後被判違反三項私隱原則,卻毋須受罰:「因為市民無權力調查,如果佢哋提出改善方 案,公署覺得佢哋唔會再犯,滿意收貨,就無得上訴。」 市民不能過分信任互聯網,甚至隨時有心理準備所有上載至互聯網的資料,均有機會被公開。公司或學校應避免將敏感資料放上伺服器,亦應將網站目錄加密。古煒 德則建議:「得閒嗰陣可以在Google輸入自己名字,睇吓會唔會搵到自己個人資料。」私隱條例是無牙老虎,要保障個人資料,大家只能自求多福。
近年網上洩密事件簿
華爾基利訊息安全研究組織創辦人賴灼東(右)及研究員何寶麟(左)即場向記者示範如何利用Google搜尋求職網,只要打入網址及關鍵字resume,即可任睇求職者履歷。
誤墮私隱陷阱機構
Google去年底選址香港,於將軍澳工業邨成立首個亞洲數據中心。不久,Google單方面宣布更改個人私隱政策,被指強搶私隱。(《蘋果日報》圖片)
本刊搜查全港多間中小學網址,發現至少十五間學校洩漏學生電話、電郵等私隱,近日坊間盛傳出現拐子佬,學生資料外洩令人關注。(《蘋果日報》圖片)
八達通一○年將日日賞客戶資料出售,前行政總裁陳碧鏵起初死口不認,被踢爆後黯然辭職。(《蘋果日報》圖片)
上 週五復活節,記者來到飲食集團德興(現已易名中核工業二三國際)在尖東的辦公室,找到集團創辦人陳樹傑之子、兼執行董事陳顥文。這個飲食王國旗下有十二間 食肆包括火鍋海鮮酒家、新滬店拉麵小籠包、聚德軒粵菜酒家等,分店遍布港九新界,另還經營旺角新天地酒店和尖沙咀新天地酒店。 德興於去年被直屬國資委的中國核工業建設集團,旗下的中國核工業二三建設,以可換股債券形式入股,令股價大上大落。與新投資者周旋之際,德興亦與原有董事 及高級管理層續約。 要知道太子爺陳顥文數十萬的年薪準確數字、年終花紅有幾多、甚至一年有幾多日有薪假期,原來統統可以在Google上查到。此外,網上還可找到六位執董簽 名的續聘合約。另外總經理宋利民在去年八月新續的僱傭合約,寫明「private and confidential」,卻在網上公開。
全港有十二間分店的德興,有多份內部文件在網上外洩。上週五,記者到德興辦公室,向執董陳顥文展示從網上搜得的董事僱傭合約,他只道:「我要再了解吓。」但截稿前沒再回覆調查結果。
上市交易密件外洩
德 興在網上洩露的四十多份文件中,包括公司與多間商人銀行的合約、信件等。在去年十二月,德興與中國核工業二三的財務顧問亞貝資本的信件中開首寫明: 「strictly private and confidential。」其餘文件亦包括股份轉讓協議書等。 記者向陳顥文遞上在Google上搜得的合約,陳顥文小心查看後,緊張問:「你仲有咩嘢文件?」又牽強解釋:「上市公司每次更新完僱傭合約,資料都要公開 啦,唔係咁 confidential。」但其中一份合約上寫明private and confidential啊,陳回應:「呢個我要再了解吓。」 為本刊利用Google在網上進行搜查的華爾基利訊息安全研究組織創辦人賴灼東說:「上市公司董事的薪金最多係 年報公開,年報還年報,點會將成份僱傭合約俾人睇!」 賴解釋,只要在Google上輸入一個指令及有關公司網址,再加上一些關鍵字如confidential、contract,或者限定文件種類如 xls(Excel format)、pdf(Portable document format)等再搜尋,便可查得網站有否外洩內部文件。而有關指令雖然普通市民未必會用,但資訊科技界幾乎無人不懂,原意用來方便縮窄搜查範圍,並非攻 擊網站:「唔係偷佢哋嘢,而係佢哋將文件放上自己網站伺服器,擺喺目錄(Directory)又唔加密碼保護。雖然普通人係入唔到個別網站目錄,但係 Google等搜尋器就可以入到,仲會放喺自己個暫存器或者資料簿,方便其他人快啲搜尋到!」 以相同指令形式搜查,不單可以在Google,還可以用內地搜尋器百度及微軟搜尋器blink找到內部文件。當中以Google的搜尋能力最強,洩密危機 最高。
學生電話地址大放送
本刊與賴灼東合作,以全港近千個結尾為edu.hk註冊的中小學網站,及近數十間著名名校 及國際學校網址,以Google作一次大搜查,以檢查學校網站有否保障學生私隱。記者輸入指令後,會加上學校網址及不同關鍵字,包括contact、 hkid、address、phone等,文件種類包括xls、pdf、doc檔,過程歷時約一個月。結果發現,至少十五間學校網站不設防,當中以洩露學 生姓名、電話及電郵最為普遍,更不乏名校如聖若瑟英文書院、喇沙書院等。
以培正中學為例,本刊發現一份文件,記錄十多名校內人員使用一個名為pc-net.com網站服務的記錄表,內裡詳載了使用者的姓名、家居地址、 電話,甚至有登入名稱及密碼。本刊上週二致電培正中學,校長葉賜添大為緊張,立即要求記者將所得文件電郵給他以作調查,但截稿前未有回應調查結果。
在眾多搜得文件中,最詳細的一份,來自香港教育工作者聯會黃楚標學校,這文件記載了○四至○五的學生名字與班別,其中近二百人有緊急聯絡電話。校 長梁兆棠得悉後甚為動氣,致電記者第一句便是:「你點解會有呢啲資料,我都唔知你搵嚟做乜,係唔係hack入我哋學校?」當記者解釋文件只因學校網站未設 保護以致在Google可搜得時,梁卻稱:「有心人裝無心人,點證明係學校有問題呢?你要搵一定有方法!」又指學校「好難絕對保證到資訊無流出。」
搜查結果亦不乏「蝦碌」資料,例如東華三院辛亥年總理中學洩出一份中一某班的下學期成績,學生中、英、數分數一目了然。至於觀塘功樂官立中學,竟 洩出一份懷疑是老師與舊生ICQ聯絡記錄,當中有學生的電郵、ICQ號碼以及與學生的對話,例如有別名小強的校友「斷咗隻右手做完手術後唔聽人講,去踢 波,扭親右腳,現在休養和失業中……」,亦有校友透露現於瑪嘉烈醫院深切治療部工作等。
「呢個涉及寫網站時程式問題。打個比喻,假設我哋想搵電話號碼,會去黃頁個網站,網站背後有個數據庫儲存晒所有人嘅姓名同電話。但係如果你可以直 接喺Google搵到個電話,咁即係個程式無保護個數據庫,令人可以直接去個數據庫度搵嘢。」香港電腦保安事故協調中心經理古煒德解釋,不少學校會將學生 資料存放於內聯網,因此要注意網站程式會否令資料庫大開中門。
求職者履歷任睇
賴灼東曾經檢查全港求職網,最後搜得近 四十份求職者的履歷表,而洩出履歷表的竟來自同一個求職網站myjobs.com.hk。該網專門吸引中五、中七生找兼職,結果一眾學生哥將自己的照片、 地址、身份證、學歷、電話等個人資料奉上,賴感嘆:「而家好多求職網都會要求求職者將履歷上載去佢哋個網站,由佢哋轉寄俾僱主,但自己又唔做好保護工作。 如果有不法分子搵到,直情可以用嚟整假身份證,再去內地銀行申請信用卡!」 其後,他又發現全港有四十多間分店的Dr.Kong健康鞋專門店,竟同樣將求職者的履歷表上載,結果數十名求職者的履歷全在Google上公開。事後他立 即透過私隱專員公署聯絡兩公司:「佢哋好乖,即刻將自己網站內文件移除,但係因為Google已經將所有檔案抄咗落嚟,結果網上面仍然可以搵到。佢哋唔知 原來要通知Google。我最嬲係私隱專員公署都唔知要咁做,無提醒佢哋!」結果他直接打電話找兩公司,負責人才猛然醒覺。由發現文件到最終在網上完全移 除所有檔案,擾攘個半月。 私隱專員公署回應指不評論個別事件,但指如市民發現個人資料於網上外洩,可以聯絡該公司及搜尋器公司將資料移除,或到公署投訴。而○九年至今,共有十宗相 關投訴,其中兩宗透過調解得到解決,其餘不是撤回就是沒證據而作罷。
市民自求多福
大律師郭榮鏗表示:「根據香港法例 第486章第37條,市民發現私隱外洩,可向私隱專員公署投訴,公署會向洩漏者發出警告同執行通知,要佢哋將資料清除,如果洩漏者唔執行,就可以根據刑事 條例控告。」然而,就連一○年八達通將二百四十萬日日賞客戶資料出售,最後被判違反三項私隱原則,卻毋須受罰:「因為市民無權力調查,如果佢哋提出改善方 案,公署覺得佢哋唔會再犯,滿意收貨,就無得上訴。」 市民不能過分信任互聯網,甚至隨時有心理準備所有上載至互聯網的資料,均有機會被公開。公司或學校應避免將敏感資料放上伺服器,亦應將網站目錄加密。古煒 德則建議:「得閒嗰陣可以在Google輸入自己名字,睇吓會唔會搵到自己個人資料。」私隱條例是無牙老虎,要保障個人資料,大家只能自求多福。
近年網上洩密事件簿
華爾基利訊息安全研究組織創辦人賴灼東(右)及研究員何寶麟(左)即場向記者示範如何利用Google搜尋求職網,只要打入網址及關鍵字resume,即可任睇求職者履歷。
誤墮私隱陷阱機構
Google去年底選址香港,於將軍澳工業邨成立首個亞洲數據中心。不久,Google單方面宣布更改個人私隱政策,被指強搶私隱。(《蘋果日報》圖片)
本刊搜查全港多間中小學網址,發現至少十五間學校洩漏學生電話、電郵等私隱,近日坊間盛傳出現拐子佬,學生資料外洩令人關注。(《蘋果日報》圖片)
八達通一○年將日日賞客戶資料出售,前行政總裁陳碧鏵起初死口不認,被踢爆後黯然辭職。(《蘋果日報》圖片)
沒有留言:
張貼留言