來自破產電腦店NCIX
警追查硬盤外泄大量個人資料
【明報專訊】大溫一個現已結業的電腦零售商集團,成為皇家騎警一調查中的主角,有網絡保安的專家指稱,遇上在網上兜售存有大量數據伺服器賣家,當專家進一步接觸賣家後發現,那些伺服器是來自現已破產關門的電腦公司NCIX,內藏的數據甚至已可讓買家付費複製。
據網絡保安專家多林(Travis Doering)於一網站內帖文講述他就查詢有關網站兜售NCIX產品的經歷,指在二手物品售賣網Craigslist上有一廣告在兜售NCIX的伺服器。
賣方最初聲稱伺服器是購自今年其中一次拍賣會。
於大溫曾有多間分店的NCIX,於去年12月破產結業,公司遺下的大部分物品包括硬件及軟件被拍賣。
多林認為,若果伺服器是購自拍賣公司,它所儲存的數據按理應已被刪除。不過,當他扮成買家應約後的發現更令人吃驚。
他稱當他到達賣家指定的地點後,他發現在Craigslist那廣告只是用來掩飾一套伺服器農場(Server Farm),它們藏有幾乎是所有的顧客紀錄。
多林指被兜售的伺服器有三個,但伺服器內的數據是未經刪除或加密。他於帖文中寫到:「此外,還有109個硬盤,它們是在拍賣前從伺服器中被拿走的,以及一大堆約有400至500個來自多個製造商的舊硬盤。」
他續指,當想像到那些透過拍賣公司賣出500部桌上電腦可曝露的資料時,那份恐懼感是有多可怕。
多林並決定要查看一大推數據檔案,情況便愈來愈令人擔心,「我發現顧客服務查詢的資料包括訊息和聯絡資料,」並且有38.5萬個名字、有購買日期的產品編號、地址、公司名稱、電郵地址和電話號碼和IP地址等。
他提到那數據庫內亦存有25.8萬個用戶的信用卡付款詳細資料的純文字格式檔。
他說賣家聲稱是有人將那些未經加密的伺服器和數據藏起,而將它們出售是作為電腦公司欠債的部分補償,「(賣方)後來提出,我能以1.5萬元租用其一間房來將所有數據拷貝。」
列治文皇家騎警昨日發推文指,警方於20日已就在網上有售被指存有顧客數據的「數據儲存器」事件展開調查,而那些儲存器被指來自一間已結業但曾知名的電腦零售商。
騎警並指警方已取回那些器材,案件仍在調查中;但警方沒有證實數據儲存器原本屬哪一間公司和被警方檢走的數量。
不少網民對騎警的推文回應,有部分指得聞指控事故而感到震驚,有些稱聽聞那些外泄數據包括僱員資料等。
一名曾於NCIX工作16年的前職員Kevin Ma接受電視台訪問時指,「我真的很震驚和失望。甚至(包括)工卡號碼(SIN)資料、我們所有的T4和在過去10年我們存於NCIX的所有財政資料都在那兒。」
報道指,曾嘗試聯絡NCIX東主,但對方沒有回應;而多林則指,他從一名舊員工聽聞,那東主已前往中國。
就警方證實已檢去數據儲存器一點,多林回應,警方雖已檢走伺服器,但問題在於那些數據早已被抄走,「數據現在落入第三者手上。」
多林於其帖中亦形容,伺服器所存的部分數據是他見過中最詳盡和最具破壞力的紀錄,年期橫跨最少17年的生意交易,「由外來者造成的數據外泄,今時今日於數碼世界中已屬常見,但使這堆數據具破壞力的是,它包括了NCIX一開始已存起的每一個紀錄。」在破產時,公司沒有保障顧客數據,這有可能該數以百萬計的機密紀綠被出售。
若果事件屬實,即使騎警已檢去器材,這仍意味數以百萬名北美消費者有機會現正冒上身分被盜和詐騙的風險。多林續指,可很容易地利用那些數據去刷到信用卡,以及利用購買產品有關的詳細內容來裝成「釣魚式攻擊」(phishing)的信息和引致身分被盜。