rfi

收聽
  • 網上電台
  • 最新節目
  • 法語節目

香港 社會

發表時間 • 更改時間

香港個人信貸報告平台有漏洞林鄭月娥私隱任由閱覽

media
香港特首林鄭月娥抵達立法會發表年度施政報告 2018年10月10日 路透社

近年積極在香港開拓個人索閱信貸報告市場的環聯資訊(TransUnion),其保密措施出現嚴重漏洞,根據明報報道,記者只需回答簡單問題,即可輕易通過核證,並下載目標人的詳盡信貸報告,內容包括電話、地址、借貸及逾期還款紀錄等多項敏感資料,記者依次方法更取得香港特首林鄭月娥和財政司長陳茂波的個人報告。私隱專員公署及金管局均表示關注事件,已展開調查,並要求環聯即時提升保安措施。


環聯資訊的作業模式非常簡單,個人只需繳交費用,在網上平台輸入個人資料,便可取得個人的信貸評級報告。不過,根據明報記者的測試發現,由於環聯資訊網上平台的保安措施出現嚴重漏洞,幾乎任何人都可以“窺視”其他人的信貸評級和私隱資料。

據明報報道,私隱專員公署稱,已接獲環聯的資料外泄事故通報,並就事件展開循規審查。在獲悉事件後,公署自行初步測試,亦發現身分核實程序設計上有保安風險,呼籲相關機構即時停止索取報告程序,並堵塞懷疑的保安漏洞,提升並加強有關身分核實的步驟,例如採用多重身分核實方式、提升身分核實問題的難度等。署方又證實,過去5年收到1宗不法查詢他人信貸報告的投訴。

金管局對事件表示關注,並已透過銀行公會要求環聯立即全面調查事件,以及儘早提升認證程序。銀行公會要求環聯在完成全面調查和作出適當系統修訂之前,提升保安措施,包括在所有個人網上查閱信貸報告時作“一次性密碼認證”(One Time Password, OTP),或暫停透過信貸或中介機構網上平台的個人信貸報告查閱服務。環聯及金管局已向私隱署通報,並會配合私隱署的跟進工作。

環聯回覆稱,接獲明報查詢後即展開內部調查,初步顯示,記者獲取極少數信貸報告,報告並在違反香港法律下被取閱,已聯繫執法機關進一步調查。環聯已經提升反欺詐管制措施。本報昨晚測試,環聯網站已新加入手機一次性密碼認證措施。行政長官辦公室稱,對事件沒有補充。

從環聯官方網站索取信貸報告,須先開設帳戶並同時接受身分核證,共有兩個步驟。首先是輸入身分證號碼、姓名、出生日期及手機號碼等個人資料。不過,明報的測試發現,除了身分證號碼,其餘資料即使虛構亦能順利進入下一步驟。本報從公司註冊資料取得林鄭月娥及陳茂波等人的身分證號碼及公開資料,結果通過了首階段核證。

次階段核證則要回答3條“五選一”選擇題,以第一條為例,問到特首的年齡,答案可輕易在網上找到;然後是持有哪一間金融機構的信用卡,當中只有一個選項是本港大型銀行;第三題問某信用卡最後4位數字,記者每次答“以上答案皆不適用”都能過關(見右圖)。事實上,記者一次測試已通過核證,經網站付款280元後,便取得林鄭月娥的詳細信貸報告,內容包括其信貸紀錄、過往及現時所有地址及電話等高度敏感資料。

中大會計學院高級講師李兆波就事件表示驚訝,認為環聯保安“極度寬鬆”,“這是一個大的保安漏洞”。他指信貸報告除了載有個人資料如手機號碼及地址等,最重要是個人借貸紀錄及還款資料。不法之徒或可以此資料冒認他人借貸,又或以你的真實資料作餌,要求市民付款改善自己信貸評級,李兆波坦言自己便曾被騙徒要求付款改善信貸評分。

香港資訊科技商會榮譽會長方保僑批評,環聯資料庫載有大批港人的信貸及個人資料,但目前採用的身分核證措施非常“兒戲”,個人資料有如“無掩雞籠”隨意任人翻閱,他建議環聯立即停止個人索閱服務,並重新核實已註冊的帳戶的身分,避免不法之徒繼續利用已登記的戶口索閱他人信貸資料。