【明報專訊】現時商戶流行以網上遊戲或招收會員作宣傳，大部分要求客戶留下個人資料。有保安專家發現，逾萬個參與過這類網上活動客戶的個人資料，包括姓名、手機號碼、地址、電郵、facebook戶口資料等被人放在一個眼鏡舖的網站，當中包括曾參與數年前7-11便利店相片分享活動和Crocs鞋封面女郎選舉的客戶。

涉事商戶均是由一名叫Embraiz的公司設計網頁，Embraiz回應指是黑客入侵令資料外泄，但保安專家對此有質疑。

個人資料私隱專員公署發言人表示，已接獲市民舉報，會展開循規審查。

網頁公司Embraiz指黑客入侵

Embraiz顧問駱舒回應，黑客曾入侵其系統而獲得並公開文件，強調備份文件一直存放在須密碼登入的路徑下，而Embraiz接獲本報查詢後，已在網上刪除所有文件。眼鏡舖PowerBloom負責人陳先生指對事件毫不知情，會向Embraiz了解。7-11便利店指Embraiz並非由其直接聘用，會向公關公司跟進，保留法律追究權利。Crocs指會調查事件。

7-11：或追究Crocs：會調查

發現是次資料外泄的華爾基利信息安全研究組織研究員賴灼東說，今次情�G十分嚴重，因涉及facebook戶口資料，不法之徒除了獲得已泄露資料外，更可透過facebook進一步獲取當時人的職業、相片等資料。對於黑客入侵之說，賴有所質疑，指出外泄資料皆放於同一個眼鏡舖網站內，並在同一日(去年1月4日下午2時許)最後修改。他指從時間上看，似是系統管理員恆常的備份工作，不排除有人「懶、貪方便」，將不同客戶資料同放在眼鏡舖網頁內。他指黑客多在晚上入侵，並且只會盜取資料，不會做多餘的事「留下痕�[」。

保安專家：fb戶口也外泄屬嚴重

是次遭公開的資料都被放在powerbloom.com.hk的網站內，共有28個.sql的資料庫檔案，其中一個是Crocs品牌有關封面女郎選舉的檔案中，有7574組個人資料，包括姓名、電話、住址、電郵、facebook資料、身分證號碼其中4位數字等，相信他們曾參與2011年Crocs舉行的封面女郎選舉投票。另外亦有一個檔案有681組資料，包括姓名、電郵、電話及一些留言，相信他們曾參與7-11在2011年一個叫Happy Moment的相片分享活動，參加者可上載生活照並留言分享生活點滴。

外泄的其餘檔案亦載有不少本地、內地甚至外地的個人資料，部分更有該次活動的登入帳戶及密碼，保守估計共涉過萬個人資料。

不應將資料網上備份

香港電腦保安事故協調中心高級顧問梁兆昌說，無法判斷系統是否遭黑客入侵，但他指任何時候也不應將資料在網上備份，應放在較安全地方，亦不應將不同公司的客戶資料混合放在同一伺服器，較敏感資料也應加密。

明報記者 張煒明