港大教育學院伺服器遭入侵
涉約7400名學者、學生及課程申請人資料
港大教育學院伺服器上星期二遭入侵,初步評估可能涉及包括約400名訪問學者資料、約3000名學生的學習進度,和約4000名研究式研究生課程申請人摘要。
港大教育學院在事隔超過一星期才公佈事件。學院指,發現事件後即時確保伺服器連結已中斷,而外聘的網絡安全顧問、港大資訊科技服務,亦立即展開調查。
至伺服器遭到入侵後3日,學院能檢視相關的日誌檔案,並發現學院的一些內部文件,包括課室預約記錄、內部指引、系統管理文件,及自2012年起的會議議程文件和會議記錄,有機會已被外洩,但目前無證據顯示,外洩的資料涉及任何人士的薪金、銀行戶口資料或香港身份證號碼。
本台向學院查詢訪問學者、學生和研究生課程申請人具體哪些資料被外洩,至今未獲回覆。
港大教育學院指,譴責一切形式的非法網絡活動,並已就事件報警,向個人資料私隱專員公署報告,學院正積極檢視事件及採取可行的措施以減低事件帶來的影響,並按港大資訊科技服務的意見,加強整體網絡保安措施,正通知學生和校友,將適時再作進一步通知。教育學院又指,對事件深表遺憾,並向可能受影響的人士致以衷心歉意,促請他們提高警覺,以防範可能外洩的資料被濫用、誤用、惡意或非法使用。
港大發言人指,資訊科技服務團隊事後已檢視全校系統,未發現其他入侵個案。
個人資料私隱專員公署表示,今日收到港大教育學院通報,公署知悉相關機構正通知受影響人士,並已根據既定程序就事件展開循規審查,暫時未接獲相關查詢或投訴.
專家指大學伺服器安全設定較鬆散
電腦安全研究員賴灼東估計,若伺服器需要透過互聯網登錄,而伺服器又無做好安全設定、未及時更新,進行滲透性測試時不夠深入,就會增加入侵的風險;又指除非大學內有電腦遭入侵,否則事故由內部入侵的機會較低。
賴灼東指,一般大學資訊系統的內部安全設定較鬆散,安全漏洞追蹤和監察亦不及銀行和商業機構,認為今次事故無涉及身份證號碼等資料,已是「不幸中的大幸」,但提醒要留意外洩資料有無被人盜用。他指,一般機構資料外洩需時2至5日調查,認為今次以大學資源而言,只花約一星期通報已算快,不少學校連系統遭入侵都不知道。他建議,大學日後要增加相關資源,聘請人員進行更高階的網絡保安和測試,否則事故只會重演。
原文網址:https://www.881903.com/news2/local/2520754
Views: 2