【本報訊】電腦保安專家估計,今次數千港人個人資料外洩,可能是由於內地公安部門疏忽,將一些內部文件上載到網頁伺服器儲存,卻未有採取加密措施,結果被人透過網上搜尋器一查,這些港人私隱就輕易一覽無遺。
部份可進入網站內部
電腦保安事故協調中心經理古煒德估計,今次事件可能是由於有關公安部門電腦保安意識不足,將一些本應只供內部參考的文件,放上網頁伺服器儲存,以為不在網頁中顯示連結,外人就無法看到,只有內部知道網址的人可以進入。但其實部份網上搜尋器功能非常強大,可以進入全球不同網站內部,搜尋到網頁上無顯示連結的資料。
古煒德指,一般來說,若有資料不想被搜尋器找到,最保險的做法是不要把資料上載到外聯的伺服器中,如一定要放上伺服器儲存,應將資料加密,又或可加上特別的電腦標示,禁止搜尋器進入。今次外洩資料的網站明顯是連最基本的保安措施都無做,令搜尋器可以輕易取出資料。
本港也曾發生類似的網上個人資料外洩事件,06年初有人用網上搜尋器意外找到投訴警方獨立監察委員會共兩萬名投訴人的資料,包括姓名、地址及身份證號碼。調查後發現是負責警監會電腦系統的外判商將資料放在網上伺服器,又沒有設定密碼,導致資料外洩。事件引起極大迴響,共有100位受影響人士提出索償、重新安置住處等要求,當中50人要求更換身份證號碼。