蘋果日報 | APPLE DAILY
› 選擇地區
三藩市
紐約
洛杉磯
其他美國地區
2018年11月09日

LINE FRIENDS RUN洩報名者私隱!網站疑冇加密 爆低級漏洞

41,141
方保僑估計,事件起因是網頁目錄的保安設定出錯,沒有將包含個人資料的檔案加密,亦沒有將檔案儲存於其他雲端伺服器或者放在隱藏的目錄,屬於「低級保安漏洞」。《蘋果》製圖
最後更新: 1109 19:16 / 建立時間 (HKT): 1109 17:37

【新增主辦者回應】
【新增私隱專員公署回應】
LINE FRIENDS RUN 2018報名網站疑爆保安漏洞,洩漏報名者的出生日期、地址及電話等個人資料。投訴人發現只要稍為改動網址,就會看到這些資料。香港資訊科技商會榮譽會長方保僑估計,事件起因是網頁目錄的保安設定出錯,沒有將包含個人資料的檔案加密,亦沒有將檔案儲存於其他雲端伺服器或者放在隱藏的目錄,屬於「低級保安漏洞」。《蘋果》向主辦者查詢事故起因及受影響人數等,惟對方未有正面回應,僅稱「絕無任何客戶信用卡資料和敏感資料」被洩。

該活動在下月2日舉行,日前已開放優先報名,今早10時起正式報名,多名網民在活動專頁留言,稱伺服器「死咗」,未能進入網站,只不斷出現「error」訊息,亦有人表示付款頁按完付款制之後「無反應」,「玩咗一粒鐘」仍無法報名。不過,「報唔到名」原來不是最大問題,《蘋果》接獲投訴,指網站原來儲存了已填資料但未能付款的人的資料,只要稍為改動付款頁的網址,就看到全部資料,包括出生日期、地址、電話及緊急聯絡人。

主辦單位傍晚在活動的facebook專頁公佈報名系統已回復正常:「唔好意思要大家耐心等候,報名系統已經回復正常,大家可以繼續報名啦!」。主辦活動的「一品體育」聲明指,報名系統在今天較早前曾故障,公司即時停止系統,現已修復及鞏固,公眾可繼續正常報名。公司確認絕無任何客戶信用卡資料和敏感資料被洩,對受延誤影響的報名者,表示非常抱歉,並感謝大家體諒。

方保僑稱,網頁目錄儲存大量檔案,若部份檔案設定為「隱藏」,除了網站管理員之外,其他人理應不能看到。他估計今次事件起因是網頁的保安設定出錯,儲存了報名資料的檔案一來沒有加密,二來沒有儲存到其他雲端伺服器,或者已設定為「隱藏」的網頁目錄,導致瀏覽網頁的人一旦改動了網址,便看到目錄內其他本應隱藏的檔案。

翻查一品體育網頁,該公司不時舉辦同類活動,包括今年9月的「熊本熊跑(2018 ASICS KUMA Fun Run Hong Kong)」、以及7月的「B. Duck Run HK 2018」。

個人資料私隱專員公署回覆,截至傍晚六時,沒有收到有關LINE Friends Run資料外洩事故的通報、查詢或投訴,但從傳媒得悉事件,已決定主動調查。

私隱專員黃繼兒指,機構必須採取有效的保安措施,保障活動參加者的個人資料;若聘用外判供應商處理資料,機構仍須以合約規範等方法防止資料在未獲准許下或意外被查閱、處理或使用,否則便有可能違反《私隱條例》下的資料保安原則。

蘋果日報fb,每日分享精選新聞及網絡新鮮事。
返回最頂
壹傳媒: 香港 台灣 | 私隱聲明 服務條款 刊登廣告 聯絡我們 招聘
© 2018 AD Internet Limited. All rights reserved. 版權所有 不得轉載