港人個人資料暗網售 民署否認外泄 黑客稱來自民署及邊檢 有事主確認脗合有稱不符

【明報專訊】有黑客於「暗網」聲稱出售港人的個人資料，包括電話號碼、姓名、身分證號碼及地址，聲稱資料外泄與民政事務總署（Home Affairs Department）及邊境管制（Border Control）有關，並附有資料樣本。民政事務總署昨表示留意到有人在網上平台出售聲稱屬於該署系統內取得的市民資料，澄清沒有資料外泄，並已報警。本報抽樣致電樣本名單上的事主，至少兩人確認資料正確。有網絡保安專家認為民政總署應仔細調查，包括了解員工或供應商有否處理不當導致資料外泄。

萬項資料售7800元 虛幣交易

有關暗網帖文於香港時間前日早上10時50分在黑客論壇網頁「BreachForums」發出，帳戶「mrwan」上載聲稱與香港特區政府民政事務總署及邊境管制有關的香港居民外泄資料，並公開各100項樣本資料，「民政總署」名單包括電話、姓名、身分證號碼及住址，「邊境管制」名單則包括姓名、電話、電郵、回鄉證號碼等，相關內容只限持有論壇帳戶者登入後瀏覽。每1萬項資料叫價1000美元（約7800港元），10萬項資料售5000美元（約3.9萬港元），要求以虛擬貨幣交易。

民政事務總署稱，已通知政府資訊科技總監辦公室，並立即調查，結果顯示署方系統沒有任何被入侵或盜取資料迹象，亦沒有資料外泄，嚴厲譴責任何形式的網絡犯罪行為和在網上散佈不實消息。警方表示已交網罪科跟進。私隱專員公署表示，無收到相關部門資料外泄事故通報。

民署入境處海關：無入侵迹象

入境處及海關分別回應稱，其系統沒有任何被入侵或盜取資料迹象，亦沒有資料外泄。衛生署稱，相關個人資料並非由署方港口衛生科蒐集。

本報根據上述兩份名單樣本隨機致電其中31人，有4人接聽，「民政總署」名單至少兩人確認姓名及電話脗合。其中一人表示早前收到公司註冊處來信通知個人資料外泄，她說平時每日至少接到三四個陌生來電，暫未遇到能叫出其全名的來電。她說自己開公司，普通人可上網搜尋她的資料。對於個人資料在暗網出現，她嘆說：「都無計，做唔到啲咩。」另一人表示姓名、電話及身分證號碼都脗合，亦曾住過名單上的地址，但已搬走。他說「（資料）泄露咗唔出奇」，因平時網上購物都要填姓名、電話、地址等資料，且資料可以賣錢，會考慮向警方備案。另一人表示姓名與名單不符，隨即收線；餘下一人表示姓氏相同，但其他資料錯誤。

專家：資料外泄未必涉入侵

網絡保安研究員陳靖龍表示，涉事個人資料來源是否如黑客所述來自民政事務總署，有待署方進一步調查，因有時資料外泄未必涉入侵系統，也可能是員工或供應商處理不當導致，建議署方「睇一睇」。陳說名單上部分電話能接通，代表有一定可信度，該些資料亦可能由多於一個出處混合「砌靚」。陳表示暗網販賣個人資料愈來愈普遍，建議市民平時只提供必須的資料，若遇不明來電應追問對方資料來源。