■縱橫遊公司管理層昨日首次現身向公眾交代事件,並向公眾鞠躬致歉。 香港文匯報記者劉國權 攝一成人信用卡都「漏料」 公司拒交百萬港元「比特幣」贖金
香港文匯報訊(記者 顏晉傑)縱橫遊的電腦系統被黑客入侵,全線門市前日一度暫停營業,公司管理層昨日首次現身向公眾交代事件,並向公眾鞠躬致歉。他們初步估計有約20萬名客戶受今次事件影響,其中約10%受影響人士更被洩露信用卡資料,並透露黑客以勒索電郵要求他們繳交折合達7位數字港幣的「比特幣」贖金。該公司已經委任兩間網絡安全公司協助提升公司的網絡保安系統,目標是將電腦系統提升至獲ISO27001電腦保安專業認證。
黑客在星期一早上已經入侵縱橫遊的客戶資料庫,但公司延至前日才公開事件。縱橫遊行政總裁兼執行董事袁振寧昨日終於現身向公眾交代事件,並與財務總監韓佩君等管理層一同就事件向公眾鞠躬致歉。
袁振寧表示,他星期一早上回到辦公室時未能登入電腦系統,並與電腦部同事一同接獲勒索電郵,要求他們繳交折合達7位數字港幣的「比特幣」贖金以解除對電腦系統的封鎖,公司管理層開會後認為黑客並不可信,擔心即使繳交贖金亦未必可以保障顧客資料,加上勒索行為不應被鼓吹,所以即時報警及就事件通報旅遊業議會和個人私隱專員公署,而警方當日亦已經派員到公司總部搜證及進行初步調查。
否認隱瞞公眾 籲改卡資料
縱橫遊估計今次資料外洩事件共涉及約20萬名顧客,當中約10%受影響者更被洩露信用卡資料,他們除了有曾經參與縱橫遊旅行團的顧客外,亦有旅行社的會員。
袁振寧又解釋,公司未有即時公佈事件是因為需要時間掌握更多資料,否認有意隱瞞公眾,稱公司正陸續聯絡受影響顧客。
袁振寧指出,信用卡資料、顧客的身份證及護照號碼都屬敏感資料,縱橫遊一般會保留一年,建議擔心資料外洩的顧客可以向發卡銀行要求更改信用卡資料。同時,今次事件中被外洩的資料亦包括顧客姓名、電話號碼、電郵地址及購買記錄等,他指出公司一般會將相關資料保存三年。
託兩保安公司升級系統
對於事件被質疑與縱橫遊未有做足電腦保安措施有關,袁振寧在記者會上被問及今次事件時強調,公司成立39年來一直有定期更新電腦軟件及硬件,稱公司今年初上市時亦有找第三者檢視,符合港交所相關規定。他並引述電腦保安專家稱,今次黑客入侵的手法並不常見。
縱橫遊在發現資料庫被入侵當日傍晚已委任羅兵咸永道及Kroll兩間網絡安全專家擔任顧問,負責評估公司面對的電腦保安風險和提升網絡保安系統,暫時亦不會以電腦備份顧客資料,如果有需要亦會以「白紙黑字」進行。袁振寧指出縱橫遊會全面提升網絡保安及將客戶資料加密,目標是獲得ISO的電腦保安專業認證。
停網維護 不礙已報名行程
而為防更多資料外洩,縱橫遊當晚停止公司所提供的全部網上服務,以便搶修資料庫,但旅行社強調所有已經報名的旅客行程都未有受今次事件影響,指出旅行團都能如期出發,但如果有顧客希望退款,公司亦會酌情處理。
縱橫遊的門市昨日雖然重新營業,但即日起至本月13日都會提早在傍晚6時關門。縱橫遊表示,他們的電腦系統只是完成局部搶修,暫時如果有顧客想報團需重用20年前的做法,用電話確認機位及酒店房間,需較長時間處理,未能即時接受付款,但公司暫時未能估計今次事件所帶來的損失,至於公司的網頁則至今仍未重開。