中新网6月20日电 据香港《明报》报道,经营香港两间互联网数据交换中心之一的中信国际电讯遭黑客入侵,对方利用其子公司信通电话(香港)供客户查询账单的网页,入侵其数据库,盗去2,583名客户数据,包括用户登入名称、登记姓名、密码、户口种类、登记时间及最后登入时间,并于国际著名黑客网站披露所有资料,警方商罪科科技罪案组已介入调查。有计算机保安专家表示,相信仅个别服务器被入侵,未必与数据交换中心有关,但承认香港私营机构的计算机保安水平参差。
中信﹕不影响数据交换中心
香港警方发言人表示,科技罪案组人员发现一间本地电讯公司逾2,500名客户的个人资料被转载至另一境外网站,经调查发现其网页系统被入侵,惟现阶段该公司并未发现其电讯系统有人入侵,警方正调查黑客从何盗取资料。发言人强调,暂无证据显示是次事件与近期有指本地的计算机系统被入侵有关,案件列作“有犯罪或不诚实意图而取用计算机”跟进。
利用网站漏洞 技术不复杂
中信国际电讯发言人表示,旗下的互联网数据交换中心由中大租用,营运及保安皆由中大负责,故事件不会影响交换中心。发言人指出,公司收到警方通知后,已关闭信通电话(香港)的网站(www.comnet-telecom.com.hk)进行保安测试,并通知受影响客户,亦让其他客户更改密码。中信已检查所有对外服务器,证实并无异常,亦会加强计算机保安。
著名国际黑客网站Cyber War News于16日刊出一篇文章,指有人已入侵中信国际电讯(1883),文章并连结到另一网页,列出入侵方法、服务器的IP地址等数据,并公开所有入侵所得的个人资料。专业信息保安协会专家小组主席杨和生指出,黑客利用网站上一个连结的漏洞入侵网站的数据库,技术并不复杂,以10分为满分计,难度只有5 分。
黑客列出入侵方法
黑客并于网上公开盗来的2,583名客户数据,包括用户登入名称、用户的登记姓名、已加密的密码、户口种类、登记时间及最后登入时间。杨表示,密码虽然经加密,但黑客已将部分密码译码还原,并上载上网,黑客可以用简单的工具将密码全部还原,只需10小时。
杨和生表示,香港法例规定所有政府部门的网页在正式营运前须经过保安测试,但不包括私人机构,因此香港的私人机构网上保安程度参差,建议私人机构应请专人进行保安测试。立法会信息科技界议员莫乃光指出,相信今次仅个别服务器遭入侵,与互联网数据交换中心无关。
现时香港设有两个互联网数据交换中心,其中中大香港国际互联网交换中心(HKIX)占逾九成香港境内的数据交流,其余则由中信国际电讯旗下的中心负责。