縱橫遊2萬客卡資料被盜 專家籲cut卡

【經濟日報專訊】縱橫遊本周一（6日）被黑客入侵電腦系統，負責人昨日現身交代有20萬客戶資料被鎖上及存取，當中2萬人的信用卡資料被奪，且部分包括可讓匪徒隨時過數的CVC或CVV安全驗證碼。 縱橫遊負責人向受影響客戶鞠躬致歉，呼籲盡快更換信用卡資料。有資訊保安專家忠告，曾於縱橫遊以信用卡付款的消費者，最好立即「cut卡」，保障自己。 縱橫遊行政總裁兼執行董事袁振寧事隔兩日後召開記者會交代事件。他表示，本周一早上未能登入公司電腦系統，並收到黑客的勒索電郵聲稱已存取客戶的資料庫，並要求支付7位數字的比特幣贖金解鎖，而他一度想付贖金，但由於黑客不可信及不應鼓吹網上罪行，跟董事局商量後決定報警。 高層鞠躬致歉 避談資料加密否 經初步評估，縱橫遊相信約20萬客戶資料受影響，當中一成、即兩萬人的信用卡資料被奪，部分更包括卡後的CVC或CVV安全驗證碼。 袁振寧又表示，公司一般會保存客戶的姓名、電郵及出生日期等非敏感資料3年，而信用卡資料、護照及身份證號碼的敏感性資料則會保存一年。他表示會盡快通知受影響客戶，又呼籲他們盡速更換信用卡資料；至於會否推出補救優惠，他稱首要通知受影響客戶，但暫未收到任何損失報告。 資訊科技商會資訊保安召集人范健文呼籲，所有曾於縱橫遊以信用卡付款的客戶，應先「cut卡」以策安全。他指，不知道黑客儲存了多少資料，但縱橫遊亦承認有儲蓄CVC及信用卡號碼等，黑客可用這些資料進行購物，尤其是沒有啟用雙重認證的客戶，更為危險。 他解釋，啟用雙重認證，消費者於網上購物時，必須回答Visa、Mastercard的問題才能付款，交易後亦會發送短訊通知消費者，若然有消費者發現信用卡有可疑交易，建議向所屬銀行求助，凍結該筆交易，銀行亦會徹查事件，如身在香港，交易於外國進行，已是很好證明。 另外，袁振寧形容，黑客入侵方法較罕見，不是WannaCry或常見軟件入侵；被問及客戶資料有否加密，袁振寧未有正面回應，只稱有使用防火牆。 范健文指出，防火牆屬較低層次的保護，有別於加密，他形容防火牆猶如電腦系統的「看更」，若黑客成功入侵，只要檔案有加密，打開都只會是亂碼，保障程度更高。他又指，加密成本不高，一般上市公司應該要做。 覓兩公司復修 拒付百萬計贖金 但袁振寧稱，公司今年初上市前曾找第三者檢視其客人資料庫，符合上市規例，今次事件後已找了兩間資訊科技公司羅兵咸永道風險及控制服務與Kroll復修資料庫，希望做到ISO國際標準，避免同類事件再發生。袁振寧又強調，即使最終無法解鎖，亦不會向黑客支付贖金，以人手重新輸入客戶以白紙黑字存檔的資料。 至於會否影響出團？縱橫遊稱已報團的旅客不受影響，可以如期出發，但新客報團則需改由人手操作；如有客戶要求退團亦會酌情處理。袁振寧暫不評估事件造成的損失，又指部分系統已經被搶修，希望本月內可重開網站。
更多經濟日報網站內容, 請登入hket.com