香港郵政外洩資料　稱黑客「碰巧取得」7249個帳戶持有人電郵

再有政府部門疑洩漏個人資料，旅遊寫作人薯伯伯(Pazu)指，前日(18日)收到香港郵政的電郵，表示有「未經授權人士」利用部門的電子服務功能，在多次嘗試後成功猜中薯伯伯的電郵地址，他質疑香港郵政爆出資訊安全事故，卻忽略公眾知情權，未有公布事件。香港郵政回覆證實事件，並稱黑客利用其電子服務功能，多次嘗試及猜測後碰巧取得7,249個帳戶持有人用作登記香港郵政帳戶的電郵地址。個人資料私隱專員公署表示，已根據既定程序就事件展開循規審查，亦已建議有關機構應盡快通知受影響人士。

薯伯伯在Facebook留言指，近日多宗資訊安事故，然而香港郵政的電腦系統同樣出現資訊安全事故，但無論是政府新聞公布或大眾傳媒領域均未提及，完全逃出了公眾視野的範圍。他指香港郵政前日以電郵通知受影響用戶，稱指有未經授權人士利用香港郵政的電子服務功能，透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址，並最終碰巧取得了受影響用戶用作與香港郵政帳戶登記的電郵地址。該通知末段附有一個電話號碼及電郵地址，他按指示致電，最終接駁至1823，問及職員有關事故，接線生確認事件，並建議他要做好保護措施等。

私隱署發言人表示，根據私隱專員公署發出的《資料外洩事故的處理及通報指引》，一般來說，機構在知悉事故後，不論內部調查的進度如何，都應在切實可行的情況下盡快作出通報。機構必須盡快作出通報才能獲得通報的最大好處，特別是減低對受影響資料當事人造成的風險以及維持機構的商譽。

香港郵政表示，今日(20日)發現一宗涉及香港郵政帳戶的資料保安事故，涉及未經授權人士利用香港郵政的電子服務功能，多次嘗試及猜測香港郵政帳戶持有人的登記電郵地址，並碰巧取得7,249個帳戶持有人用作登記香港郵政帳戶的電郵地址。香港郵政確認事件只涉及帳戶持有人的電郵地址，未經授權的人士並沒有取得相關帳戶持有人的個人資料，例如帳戶登入名稱和密碼，以及在香港郵政的交易記錄，當中並沒有發現相關資料被洩漏或竄改的跡象，亦沒有偵測到有關帳戶有任何可疑的活動情況。

發言人續說，前日(18日)發現事件後，已即時通知所有受影響的帳戶持有人，提醒他們注意可疑電郵或不知名的通訊，並立即採取多項措施，進一步加強系統安全。另外，亦於同日向警方報案，以及向個人資料私隱專員公署尋求意見，於今日提交報告。根據政府既定程序，已將事件通報政府資訊保安事故應變辦事處，正尋求政府資訊科技總監辦公室意見，以進一步加強保安措施，香港郵政將繼續密切監察情況。