繳費靈網站發生用戶款項被盜事件。 |
繳費靈上周日發生用戶存款離奇失竊案件。受害人的繳費靈戶口疑遭盜用, 10萬元銀行存款轉移至涉案者的馬會投注戶口。易辦事並無公佈事件,又向本報堅稱系統非遭黑客入侵。易辦事、馬會及金管局口徑一致,以警方正調查為由拒絕透露詳情。據了解,疑有黑客與假卡黨聯手犯案。
本報接獲消息稱,繳費靈網上戶口上周日遭不法之徒擊破雙重認證,用戶的銀行存款轉移到騙徒馬會投注戶口。受害人已報警。
攻破雙重認證
所謂雙重認證,是用戶於繳費靈網站輸入登入密碼及手機短訊顯示的驗證密碼,才能增設繳費或投注等戶口。消息透露,懷疑有黑客盜用受害人的登入密碼等用戶資料,再由假卡黨運用資料製造假卡,到便利店等設置終端機的地點更改受害人電話號碼,驗證密碼就能傳送至不法之徒的手機,破解雙重認證。據了解,黑客並無攻擊繳費靈系統,如何取得受害人登入資料仍然成謎。
消息人士質疑,事件反映該網站有嚴重的保安漏洞,繳費靈所屬的易辦事為保聲譽罔顧公眾利益,沒即時公佈及暫停所有網上戶口服務,僅於周一起停止繳費靈用戶新增或刪除馬會戶口。一旦事件遭揭發,公眾對繳費靈失信心,靠此服務賺取利息的銀行紛紛遭殃,「以前假卡黨都係買嘢呃貨,或者換人民幣返大陸,今次係黑客同假卡黨第一次聯手犯案,易辦事一定將件事賴落受害人度,唔畀金管局追查落去」。
本報記者昨登入繳費靈網站,成功增設第三者的賬單繳費戶口,惟不能增設馬會投注戶口。
易辦事發言人證實,接獲網上繳費靈戶口涉嫌被不正常使用的用戶「查詢」,也確認款項轉移至馬會投注戶口,但強調此乃個別事件,與系統安全性無關,無任何黑客入侵紀錄,惟沒回應是否暫停用戶增設馬會投注戶口的服務。馬會表示已接獲易辦事通知,強調事件與馬會投注戶口系統無關。
消息人士質疑,事件反映該網站有嚴重的保安漏洞,繳費靈所屬的易辦事為保聲譽罔顧公眾利益,沒即時公佈及暫停所有網上戶口服務,僅於周一起停止繳費靈用戶新增或刪除馬會戶口。一旦事件遭揭發,公眾對繳費靈失信心,靠此服務賺取利息的銀行紛紛遭殃,「以前假卡黨都係買嘢呃貨,或者換人民幣返大陸,今次係黑客同假卡黨第一次聯手犯案,易辦事一定將件事賴落受害人度,唔畀金管局追查落去」。
本報記者昨登入繳費靈網站,成功增設第三者的賬單繳費戶口,惟不能增設馬會投注戶口。
易辦事發言人證實,接獲網上繳費靈戶口涉嫌被不正常使用的用戶「查詢」,也確認款項轉移至馬會投注戶口,但強調此乃個別事件,與系統安全性無關,無任何黑客入侵紀錄,惟沒回應是否暫停用戶增設馬會投注戶口的服務。馬會表示已接獲易辦事通知,強調事件與馬會投注戶口系統無關。
轉至馬會戶口
金管局發言人向本報證實,繳費靈客戶存款轉移至馬會戶口一事,易辦事已向金管局滙報。至於何時滙報及事件始末,金管局以警方調查為由不肯透露,只提醒市民小心保管網上戶口資料,並於電腦及手機安裝防毒軟件。警方何時接獲報案及交由哪個單位跟進,警察公共關係科也沒交代,僅回覆指會跟進及了解事件。
立法會資訊科技及廣播事務委員會何秀蘭批評,易辦事應於事發後即時通知所有用戶並公佈細節,現時做法會引起公眾恐慌,「應該話畀用戶聽點樣防範,家搞到大家對繳費靈冇晒信心。」
保安漏洞 少年黑客曾盜取 15萬元
有 150萬用戶的繳費靈,系統並非首次出現保安漏洞, 07年一名 17歲少年黑客成功竊取多個用戶的密碼,盜取 15萬元,之後繳費靈為加強保安,引入雙重認證方式辨別用戶身份真偽。
出事後引入雙重認證
繳費靈是易辦事及電訊盈科於 1993年推出的電話付款服務, 1999年擴展至網上繳費,至今登記用戶達 150萬,參與商戶及公共機構達 700多個,每月處理數百萬宗交易。
市民若要登記為繳費靈用戶,需以提款卡在遍佈全港的繳費靈終端機開設戶口,並設定密碼,每次用電話或網上繳費都要輸入密碼。 07年,一名 17歲少年將黑客程式寫入流行曲檔案內,在網上任人下載,這些程式植入電腦後,就會記錄用戶在鍵盤上輸入的資料。少年以此方式偷取 4名繳費靈網上用戶的用戶名稱及繳費密碼,將用戶存款轉至他兄長的馬會投注戶口。
事件揭發後,繳費靈隨即為網上用戶引入雙重認證方式,加強保安。雙重認證是網上銀行服務普遍採用的保安方式,即用戶除了需輸入個人密碼,還需輸入另一組資料確認,方式有多種,包括輸入出生日期等個人資料、按動保安編碼器取得一次性密碼,或按手機短訊取得一次性密碼。繳費靈以手機短訊向用戶發送一次性密碼,用戶要輸入收到的密碼,以確認身份。
預防中招 每周檢查戶口抄錄資料
繳費靈設雙重認證,仍有用戶中招。有學者指出,網絡保安問題多源於個人警覺不足,呼籲市民每周檢查網上戶口一次及抄低資料,如有異樣即與有關公司聯絡甚至報警,「好多人登記咗又唔用,就咁中咗招」。
中文大學訊息工程學系客座教授、恆生商學院資訊總監黃寶財解釋,手機驗證普遍,尤其用於股票投資。網站會向用戶的手機發出驗證密碼,經電訊商加密後轉發,手機把訊息解密,用戶才能讀取,保安尚算嚴密。繳費靈雖設手機短訊驗證,若手機被盜,或短訊被其他人過目,驗證就形同虛設。若涉案者於網站更改手機號碼,更能把驗證密碼直接傳給其他手機。
兒童遊戲程式易中毒
網站登入密碼方面,應避免手機使用 facebook遊戲等程式,因 facebook為促進用戶交流及商業運作,網絡保安相對寬鬆。研究發現,坊間兩至三成電腦已中毒,兒童遊戲等程式最高危,電腦儲存的個人資料隨時外洩。
沒有留言:
發佈留言