【明報專訊】香港互聯網協會網絡保安及私隱小組召集人楊和生分析aimHigher網站連結,以及檢查網站的設定,懷疑網站未有加密保護履歷,認為是低級錯誤。楊表示,若有心人或黑客有意盜取網站的履歷資料,只需一個簡單的程式,便可一次過下載所有履歷。 楊和生估計網站最初設計時,未有考慮網絡保安問題,因此履歷的連結可讓人隨意更改序號,並閱讀或下載他人履歷。楊和生說:「其實可以見到佢(網站的保安設計上)並無作出任何考慮,因為現存的任何系統上,都不會輕易讓任何一個沒有獲授權的人(unauthorized person)去存取資料。」 楊和生解釋,如網站有考慮保安,序號會用上複雜的字元或符號,「不會出現加減一,或加減十就出到(其他人履歷)」。楊又檢查aimHigher網站的設定,發現網站「整體上都無做到加密」,保安上有極大風險。 大狀:倘因外泄資料釀損失 可索償 大律師任穎明表示,aimHigher外泄資料事件或已違反《個人資料(私隱)條例》內其中3項保障資料原則,包括收集資料原則、使用資料原則和資料保安原則。任稱該公司當初收集履歷的目的只用於求職,但並不包括外泄後造成的其他用途,私隱專員公署接獲投訴後,會按程序調查;若有人因外泄資料事件造成損失,可循民事索償涉事公司,惟索償人須向法庭證明其實際損失狀G。
|
| |
| |
