黑客侵官網 WWF被指隱瞞

【記者趙婉嫻】世界自然基金會（WWF）香港分會的官方網站上月底遭黑客入侵，五萬個存有市民姓名、身份證號碼和電郵地址等個人資料的檔案可能被人竊取，估計受影響市民數以萬計。惟WWF直至本月五日即事發之後十多日，才陸續以電郵通知受影響人士，有「中招」者認為事態嚴重，批評WWF並無即時對外通報事故，有隱瞞事故之嫌，敦促WWF盡快清楚交代今次事件。

有互聯網專家認為WWF通報時間太遲，行內一般會在事發後三個工作日內通知個人資料私隱專員公署。世界自然基金會則否認存心隱瞞，強調事發後已即時調查及通知受影響人士，並再次向受影響者致歉。本報記者發現WWF香港分會近日陸續向與該會有關連人士發出電郵通知，指其官方網站上月底遭黑客攻擊，市民曾在該網站進行網上活動聯署或登記時所提供的個人資料有可能已被竊取，包括姓名、身份證號碼及電郵地址等。至於曾經登記參加「氣候正能量」計劃的人士，外洩資料更涉及性別、出生日期、居住地區和職業等，提醒受影響人士提防來歷不明或不熟悉的網上交易指示，建議用戶重設登入網站的密碼，防止黑客入侵，但無具體交代事故詳情及跟進事宜。

涉市民姓名及電郵地址

WWF發言人昨回覆本報記者查詢時，承認上月二十五日（周一）發現官方網站內容被人改動，才揭發網站遭黑客入侵。直認網站的儲存庫現存約五萬個資料檔案，主要涉及市民姓名和電郵地址，當中百分之五的資料涉及市民身份證號碼和出生日期等敏感資料，但不涉及任何信用卡資料，也無證據顯示有關資料被人下載或移走，但相信黑客曾經瀏覽有關資料，有關資料因有機會外洩。

發言人續稱，該會於本月二日已匯報個人資料私隱專員公署，翌日再通知警方，並已通知所有受影響人士及加強網站保安系統。發言人表示，暫未統計到受影響人數，但相信曾在網站登記個人資料的人士均已「中招」，即捐款者、索取電子月刊或參加WWF網上活動等，意味受影響人士數以萬計。

個人資料私隱專員公署證實接獲有關機構呈報網站被黑客入侵事故，已建議該機構向受影響人士、執法部門和相關規管機構等通報事故，以及啟動其他可採取的補救行動。如有需要，公署會向肇事機構展開循規審查，協助有關機構採取措施，防止事件再發生。警方證實本月三日接獲一名外籍女子以電郵形式向警方報案，指發現有一可疑外國網路位址(IP Address)曾瀏覽WWF香港分會網站，懷疑有個人資料外洩，個案列作求警調查，交由科技罪案組跟進調查，暫時無人被捕。

黑客入侵網站經過

3月25日：世界自然基金會（WWF）香港分會電腦保安職員發現官方網站內容遭人竄改，揭發網站遭黑客入侵，其中網站的儲存庫存有五萬個資料檔案，懷疑資料外洩，當中包括市民姓名、身份證號碼、電郵地址等個人資料。

4月2日：WWF職員通過電郵形式，向個人資料私隱專員公署匯報其網站被黑客入侵事故。

4月3日：WWF職員利用電郵形式，向警方商業罪案調查科報案，指發現有一可疑外國網絡位址（IP Address）曾瀏覽WWF香港分會網站，懷疑有個人資料外洩。

4月5日至昨日：WWF陸續以電郵形式通知受影響市民，指其官方網站受黑客攻擊，在網站登記的個人資料有可能被人竊取，提醒受影響市民提防來歷不明或不熟悉的網上交易指示，加強防禦黑客入侵。

4月13日：東方報業集團記者追問下，WWF始承認上月底其網站遭黑客入侵，懷疑數以萬計市民個人資料遭竊取或外洩。