縱橫遊20萬客私隱恐盡洩

■縱橫遊公司管理層昨日首次現身向公眾交代事件，並向公眾鞠躬致歉。 香港文匯報記者劉國權 攝

一成人信用卡都「漏料」 公司拒交百萬港元「比特幣」贖金

縱橫遊的電腦系統被黑客入侵，全線門市前日一度暫停營業，公司管理層昨日首次現身向公眾交代事件，並向公眾鞠躬致歉。他們初步估計有約20萬名客戶受今次事件影響，其中約10%受影響人士更被洩露信用卡資料，並透露黑客以勒索電郵要求他們繳交折合達7位數字港幣的「比特幣」贖金。該公司已經委任兩間網絡安全公司協助提升公司的網絡保安系統，目標是將電腦系統提升至獲ISO27001電腦保安專業認證。

黑客在星期一早上已經入侵縱橫遊的客戶資料庫，但公司延至前日才公開事件。縱橫遊行政總裁兼執行董事袁振寧昨日終於現身向公眾交代事件，並與財務總監韓佩君等管理層一同就事件向公眾鞠躬致歉。

袁振寧表示，他星期一早上回到辦公室時未能登入電腦系統，並與電腦部同事一同接獲勒索電郵，要求他們繳交折合達7位數字港幣的「比特幣」贖金以解除對電腦系統的封鎖，公司管理層開會後認為黑客並不可信，擔心即使繳交贖金亦未必可以保障顧客資料，加上勒索行為不應被鼓吹，所以即時報警及就事件通報旅遊業議會和個人私隱專員公署，而警方當日亦已經派員到公司總部搜證及進行初步調查。

否認隱瞞公眾 籲改卡資料

縱橫遊估計今次資料外洩事件共涉及約20萬名顧客，當中約10%受影響者更被洩露信用卡資料，他們除了有曾經參與縱橫遊旅行團的顧客外，亦有旅行社的會員。

袁振寧又解釋，公司未有即時公佈事件是因為需要時間掌握更多資料，否認有意隱瞞公眾，稱公司正陸續聯絡受影響顧客。

袁振寧指出，信用卡資料、顧客的身份證及護照號碼都屬敏感資料，縱橫遊一般會保留一年，建議擔心資料外洩的顧客可以向發卡銀行要求更改信用卡資料。同時，今次事件中被外洩的資料亦包括顧客姓名、電話號碼、電郵地址及購買記錄等，他指出公司一般會將相關資料保存三年。

託兩保安公司升級系統

對於事件被質疑與縱橫遊未有做足電腦保安措施有關，袁振寧在記者會上被問及今次事件時強調，公司成立39年來一直有定期更新電腦軟件及硬件，稱公司今年初上市時亦有找第三者檢視，符合港交所相關規定。他並引述電腦保安專家稱，今次黑客入侵的手法並不常見。

縱橫遊在發現資料庫被入侵當日傍晚已委任羅兵咸永道及Kroll兩間網絡安全專家擔任顧問，負責評估公司面對的電腦保安風險和提升網絡保安系統，暫時亦不會以電腦備份顧客資料，如果有需要亦會以「白紙黑字」進行。袁振寧指出縱橫遊會全面提升網絡保安及將客戶資料加密，目標是獲得ISO的電腦保安專業認證。

停網維護 不礙已報名行程

而為防更多資料外洩，縱橫遊當晚停止公司所提供的全部網上服務，以便搶修資料庫，但旅行社強調所有已經報名的旅客行程都未有受今次事件影響，指出旅行團都能如期出發，但如果有顧客希望退款，公司亦會酌情處理。

縱橫遊的門市昨日雖然重新營業，但即日起至本月13日都會提早在傍晚6時關門。縱橫遊表示，他們的電腦系統只是完成局部搶修，暫時如果有顧客想報團需重用20年前的做法，用電話確認機位及酒店房間，需較長時間處理，未能即時接受付款，但公司暫時未能估計今次事件所帶來的損失，至於公司的網頁則至今仍未重開。

縱橫遊事件時序

日期　　　　　　　時間　　事件　

11月6日（星期一）　早上　縱橫遊發現未經授權者存取數據庫，並收到電郵勒索，要求交付贖金以解除系統封鎖，決定報警，警方稍後上公司總部進行初步調查　

11月6日（星期一）　下午　縱橫遊向旅遊業議會交代事件，並着手處理文件向私隱專員公署通報　

11月6日（星期一）　傍晚　縱橫遊委任羅兵咸永道及Kroll兩間網絡安全專家作顧問，評估風險及提升網絡保安　

11月6日（星期一）　晚上8時　縱橫遊將對外系統離線，確保客戶資料不會進一步外洩，並設立電話查詢熱線　

11月7日（星期二）　早上　在港交所發佈公告，對外發出聲明交代事件　

11月7日（星期二）　全日　重建客戶資料庫，並與兩間網絡安全專家商討全面提升網絡保安及將客戶資料加密，目標將IT系統提升，以獲取ISO27001IT保安的專業認證。另外，縱橫遊亦開始陸續聯絡受影響客戶　

11月8日（星期三）　中午　縱橫遊通宵修復系統及重建客戶資料庫後，成功搶修局部系統，全線分行於中午重開　

香港文匯報