香港个人信贷报告平台有漏洞林郑月娥私隐任由阅览


香港特首林郑月娥抵达立法会发表年度施政报告 2018年10月10日
路透社


近年积极在香港开拓个人索阅信贷报告市场的环联资讯(TransUnion),其保密措施出现严重漏洞,根据明报报道,记者只需回答简单问题,即可轻易通过核证,并下载目标人的详尽信贷报告,内容包括电话、地址、借贷及逾期还款纪录等多项敏感资料,记者依次方法更取得香港特首林郑月娥和财政司长陈茂波的个人报告。私隐专员公署及金管局均表示关注事件,已展开调查,并要求环联即时提升保安措施。

环联资讯的作业模式非常简单,个人只需缴交费用,在网上平台输入个人资料,便可取得个人的信贷评级报告。不过,根据明报记者的测试发现,由于环联资讯网上平台的保安措施出现严重漏洞,几乎任何人都可以“窥视”其他人的信贷评级和私隐资料。

 

据明报报道,私隐专员公署称,已接获环联的资料外泄事故通报,并就事件展开循规审查。在获悉事件后,公署自行初步测试,亦发现身分核实程序设计上有保安风险,呼吁相关机构即时停止索取报告程序,并堵塞怀疑的保安漏洞,提升并加强有关身分核实的步骤,例如采用多重身分核实方式、提升身分核实问题的难度等。署方又证实,过去5年收到1宗不法查询他人信贷报告的投诉。

 

金管局对事件表示关注,并已透过银行公会要求环联立即全面调查事件,以及尽早提升认证程序。银行公会要求环联在完成全面调查和作出适当系统修订之前,提升保安措施,包括在所有个人网上查阅信贷报告时作“一次性密码认证”(One Time Password, OTP),或暂停透过信贷或中介机构网上平台的个人信贷报告查阅服务。环联及金管局已向私隐署通报,并会配合私隐署的跟进工作。

 

环联回覆称,接获明报查询后即展开内部调查,初步显示,记者获取极少数信贷报告,报告并在违反香港法律下被取阅,已联系执法机关进一步调查。环联已经提升反欺诈管制措施。本报昨晚测试,环联网站已新加入手机一次性密码认证措施。行政长官办公室称,对事件没有补充。

 

从环联官方网站索取信贷报告,须先开设帐户并同时接受身分核证,共有两个步骤。首先是输入身分证号码、姓名、出生日期及手机号码等个人资料。不过,明报的测试发现,除了身分证号码,其余资料即使虚构亦能顺利进入下一步骤。本报从公司注册资料取得林郑月娥及陈茂波等人的身分证号码及公开资料,结果通过了首阶段核证。

 

次阶段核证则要回答3条“五选一”选择题,以第一条为例,问到特首的年龄,答案可轻易在网上找到;然后是持有哪一间金融机构的信用卡,当中只有一个选项是本港大型银行;第三题问某信用卡最后4位数字,记者每次答“以上答案皆不适用”都能过关(见右图)。事实上,记者一次测试已通过核证,经网站付款280元后,便取得林郑月娥的详细信贷报告,内容包括其信贷纪录、过往及现时所有地址及电话等高度敏感资料。

 

中大会计学院高级讲师李兆波就事件表示惊讶,认为环联保安“极度宽松”,“这是一个大的保安漏洞”。他指信贷报告除了载有个人资料如手机号码及地址等,最重要是个人借贷纪录及还款资料。不法之徒或可以此资料冒认他人借贷,又或以你的真实资料作饵,要求市民付款改善自己信贷评级,李兆波坦言自己便曾被骗徒要求付款改善信贷评分。

 

香港资讯科技商会荣誉会长方保侨批评,环联资料库载有大批港人的信贷及个人资料,但目前采用的身分核证措施非常“儿戏”,个人资料有如“无掩鸡笼”随意任人翻阅,他建议环联立即停止个人索阅服务,并重新核实已注册的帐户的身分,避免不法之徒继续利用已登记的户口索阅他人信贷资料。

 

法广RFI 香港特约记者甄树基

 

激賞明鏡 1
激賞明鏡 2
比特幣激賞明鏡

3KAXCTLxmWrMSjsP3TereGszxKeLavNtD2
激賞操作及常見問題排除
推薦電視頻道

留言