高登討論區會員資料外洩、遭放暗網出售 私隱專員公署展開調查

高登討論區會員資料外洩

私隱專員公署作出呼籲，曾在涉事討論區登記成為會員的市民須提高警惕，慎防個人資料被盜用。

若懷疑個人資料被外洩，可以向相關平台或私隱專員公署（電話：2827 2827、電郵：[email protected]）作出查詢。受影響市民為保障個人資料私隱，應採取以下措施：

• 更換相關帳戶的密碼。若有需要，更換其他社交平台帳戶的密碼及電郵地址；
• 留意所登記的帳戶及個人電郵有沒有不尋常的登入記錄；
• 收到不明來歷或可疑的來電、短訊或電郵時要提高警覺，切勿隨意打開附件或披露個人資料；及
• 對網絡釣魚及其他詐騙行為提高警覺。

高登討論區回應

高登討論區管理員表示，已完成核對相關流出資料，並確定該批資料流出日期應為2015年4月15日或之前，而資料內容當中有真有假。再三提醒會員避免以任何形式發佈、廣傳相關資料，因發佈真實個人資料屬犯法行為，同時亦變相為黑客曲線宣傳。同時針對事件作出回應，以釋除各位會員疑慮：

流出內容涉及未經加密帳號密碼

高登討論區於2015年前採用當時流行的MD5 Hash形式加密會員密碼，由於會員密碼組合大部分以數字或幾位字母為主，MD5加密法缺點為可以經暴力破解取得加密前內容，我們不排除黑客經暴力破解形式取得並進行登入驗證 (我們容許會員每日最多登入10次)。

及後，討論區已改用BCrypt加密法加密會員密碼 （BCrypt已為目前業界標準的加密法，原因為BCrypt經過Random seed加密後的內容每次都唔同而同時可被伺服器進行登入驗証，這更有效保障會員密碼相關資料的安全性)。

為何資料會流出 ?

由於事情發生年份為2015年，追查原因有一定難度。我哋聯想到的一件事件為有一位前高登IT職員因操守問題（涉及偷竊同事財物、因拖欠借貸問題以致公司被數間借貸公司以不同形式騷擾等)被解僱。

當時高登IT部分主要為該位同事及幾位同事負責，而當時高登的確未有利用任何IT技術、開發流程去監督IT員工行為，我們懷疑資料外洩風波由此引起。

之後我們已逐步於項目中推行Cloud Logging Service, Cloud IAM Service, 加入Multi Stage Deployment的CI/CD Workflow以進行更好的Access Control管理。
我們為2015年時缺乏相關監督意識向各位會員致歉。

高登會員應採取甚麼行動 ?

1. 由於2019年時有IT職員 “熜燈捉蟲猿” 有收到為數不少會員回報帳號被hack問題，當時已進行一次性行動要求所有會員更改密碼，否則無法登入討論區，不過我哋仍然建議各位更改一次密碼 （密碼長度應大於8個字元及含有大小寫英文字母)
2. 如果會員有使用2015年時同樣的電郵地址、同樣的密碼到其他平台服務 (特別係金融、保險、銀行服務)的話，我們建議閣下更改該服務登入密碼及加入兩階段認證以防止被不法之徒盜用
3. 請透過任何手段通知你認識嘅高登會員相關事宜（毋須附上個人資料) 及提醒他們完成 (1) (2)

翻查報道，香港高登網站行政總裁林祖舜年前接受傳媒訪問時表示，該網站會員人數約40萬，每月平均瀏覽量逾100萬人次，過去數年會員數量未有太大變化。

2009年，香港高登連和高登討論區，雙雙榮獲2009年香港資訊科技獎（Hong Kong ICT Awards 2009）的「最佳生活時尚獎（網絡社交）」金獎，反映網站將香港網民的多元文化，由虛擬網絡世界帶到現實社會。

延伸閱讀：AA制夾錢交租10年唔肯買樓 46歲中女被飛先知業主係男友！

延伸閱讀：日出康城賺到盡｜小紅書出租2房16K 額外要求租客：幫手剷屎照顧4隻貓