昨日(7 月 24 日)報道,私隱專員公署指接國泰通報,有「亞洲萬里通」會員帳戶被盗,大約有 1,000 名國泰會員受影響,當中的里數會被轉走。HKCERT 呼籲所有持有「亞洲萬里通」會員的市民,儘快透過手機應用程式檢查帳戶,同時提升個人保安措拖,包括更改密碼,以及使用多重驗證 (MFA),或者改用新式的無密碼登入,包括通行鑰匙(Passkey)。
私隱專員公署表示,上周二接獲國泰通報事件,已根據既定程序展開循規審查,並指事件可能影響逾 2,000 名香港客的個人資料。根據國泰提交的資料顯示,有 724 個香港會員帳戶受影響,並可能影響 2,216 名香港客戶的個人資料,涉及的個人資料,可能包括姓名、性別、出生日期、居住國家、里數、積分狀態結餘、電郵地址、流動電話號碼、通訊地址及旅行證件等資料。更有帳戶內的「亞洲萬里通」里數被盜走。
盜取「亞洲萬里通」里數
香港網絡安全事故協調中心(HKCERT)今日提醒市民保持警覺,採取適當保安措施,妥善保護個人密碼,嚴防類似事件發生。
攻擊者利用互聯網上外洩的會員帳戶密碼,透過系統雙重驗證流程中的漏洞,成功繞過安全防護非法登入用戶帳戶,盜取「亞洲萬里通」里數,期間用戶沒有收到認證確認或電郵通知,直至無法登入帳戶才發覺帳戶已經被盗,外洩的個人資料包括但不限於:
- 基本資料:姓名、性別、出生日期
- 聯絡資訊:電郵地址、手機號碼、通訊地址
- 帳戶資料:里數餘額、積分狀態
雖然攻擊者主要目標是盜取里數,但受害者的個人資訊同樣面臨被濫用的風險。
適當的保安措施
為了更好地保障個人帳戶,HKCERT 強烈建議市民立即採取以下三重保安措施:
一、強化密碼管理
- 定期更改會員帳戶密碼,減少密碼外洩的風險。
- 不要重複使用密碼,應為每個帳戶創建一個獨一無二的密碼。
- 使用高強度密碼,其中選擇包含大小寫字母、數字及特殊字符的複雜密碼,避免使用容易猜測的訊息,例如姓名、電話或出生日期。
二、升級帳戶保安設定
- 啟用多重驗證(MFA),例如通過智能手機或電郵接收驗證碼。
- 考慮使用無密碼登入選項,新式認證方法如通行鑰匙(PassKey)、人臉識別或指紋掃描更為安全。
三、慎防釣魚攻擊
- 切勿與第三方分享個人訊息,避免打開未經驗證的鏈結及附件,對可疑的網站、電郵、連結和附件保持警惕。
- 若懷疑成為釣魚詐騙受害者,應立即更改密碼,通知銀行或服務供應商,並向 HKCERT 報告尋求協助。
- 使用「守網者」(CyberDefender)檢查可疑電郵、網址及IP地址,識別網絡騙局及陷阱,或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。
伍 Sir 分享中招經過: 三月已出事
國泰雖然是近日主動上報事件,但盜用戶口個案,可能是早幾個月前已姐發生,著名攝影雜誌編輯及作家,現時主力經營 YouTube 頻道「攝影獨白」的伍振榮 (伍 Sir) ,今日較早時在其 YouTube 上發接影片,講述其在今年 3 月國泰帳戶被盜經過,當中帳房的所有里數,在沒有其授權下,全部被轉到第三者帳戶,及已使用作換購機票。伍 Sir 致電和國泰投訴及要求協助。國泰方面則要求其在香港向警方報案,由警方調查。
不過警方回覆伍 Sir,警方已收到不少類似個案,相信事件與國泰內部系统有關,而非用戶的個人層面問題,著伍 Sir 找回國泰處理及完結個案。 不過國泰最初指是用戶的個人戶口,如電郵信箱被盜用而非國泰問題而不予處理,對其後查詢及投訴也不作回覆。除伍 Sir 本人外,其兒子的國泰帳戶也出現同樣問題。
有關過程有與客服的電話錄音,可信性較高。大家可以到其頻道了解更多:
https://youtu.be/VI8PtL1lbCs?si=2-KsRMB-IkeDNHZJ
