香港邮政“投寄易”遭袭，用户通讯录面临外泄风险

   7月21日晚间，香港邮政突然发布一则紧急通告，揭露其线上寄件平台“投寄易”遭遇网络攻击。事件中，攻击者非法读取了账户持有人的通讯录资料，波及信息包括寄件人和收件人的姓名、地址、电话号码乃至电子邮件地址等敏感内容。消息一出，不少常使用该服务寄件的电商卖家顿感不安——毕竟通讯录里积累的客户资料若真外泄，引发的连锁风险远超单次交易。

   根据内部技术人员的初步追查，这次攻击并非传统意义上的黑客强行入侵，而是利用了一个相对“低级”却危险的系统设计缺陷。知情人士透露，攻击者仅通过修改网址参数中的字符序列，便能绕过权限隔离机制，直接访问其他用户的通讯录数据。这种漏洞在资安领域称为“非授权直接对象引用”（IDOR），本质是开发过程中对访问控制逻辑的疏忽。更令人忧心的是，涉事系统并未托管于香港特区政府指定的高规格云端基础设施内，而是运行于独立服务器，这无疑削弱了防护层级。

   事件发生后，香港邮政的危机处理还算迅速。他们在察觉异常访问后立即阻断了攻击路径，并在同一天内完成报案、通报数字政策办公室及个人资料私隐专员公署等流程。服务功能在几小时内恢复，表面运转如常。然而，真正的难题才刚开始：多少用户受影响？数据是否已流入黑市？官方坦承这些关键问题仍在追查，仅承诺“有进展将通知用户”。有业内人士私下批评，此类响应虽符合流程却欠缺透明度，用户连自己是否在受害名单内都无从确认，只能被动等待。

   面对潜在的信息泄露风险，香港邮政反复呼吁用户警惕可疑邮件和短信，强调绝不会通过链接索要个人或财务资料。但现实是，一旦通讯录中的联系人信息外泄，第三方诈骗风险可能蔓延至整个联络网。例如，某位曾在“投寄易”寄件给客户的珠宝店主，若其通讯录被盗，收件人可能收到伪装成店铺或邮政的钓鱼邮件，诱骗点击恶意链接。因此，专家建议用户主动检查通讯录中的联系人名单，提醒他们加强防范意识——这种“自救”动作目前看来比官方措施更实际。

   回头看，这起事故暴露的不仅是单一系统漏洞，更是公共服务数字化进程中的深层矛盾。一方面，市民期待更便捷的线上服务；另一方面，政府单位在技术迭代时往往优先考虑功能实现，对攻击手法的演化预估不足。尤其当系统托管未严格遵循内部安全指引时，风险敞口便无形扩大。香港邮政承诺将“全面加强系统安全”，但若不对开发流程、渗透测试及基础设施标准进行系统性改革，同类事件恐难绝迹。在数字化时代，公营机构的资安防御力，已成为公众信任的新基石。