環聯信貸查閱報告存漏洞洩私隱
原文刊於信報財經新聞
香港近日多次爆出個人資料洩漏事件,管理約500萬人信貸資料庫的環聯亦出現事故,有傳媒報道指出,以身份證號碼及簡單個人資料,並在環聯網站回答數個簡單問題,即可取得如信貸評分、電話號碼、地址及信貸賬戶號碼等敏感個人資料。環聯回應稱,事件並非網絡攻擊,有關記者獲取極少數個人信貸報告,而報告在違反香港法律的情況下被取閱,公司已聯絡執法機關,及通報私隱專員公署以進一步調查此事件。
指非網絡攻擊 收緊核實身份
環聯已隨即收緊查閱信貸資料審核步驟,在核實身份的問答環節中,答錯一次後即被封鎖賬戶;據悉,過往答錯數次才會被鎖封。
環聯表示,《明報》早前與該公司聯繫,公司隨即對《明報》的指稱展開內部調查。
根據初步調查顯示,有關記者獲取了極少數香港消費者的個人信貸報告,這些信貸報告在違反香港法律的情況下被取閱。環聯已經聯繫了執法機關,作進一步調查。此次事件並非網絡攻擊,而是他人濫用消費者資訊、以欺詐的手法,從而獲取消費者個人信貸資料。
私隱專員公署昨強調,私隱專員黃繼兒接獲環聯通報,已聯絡環聯並就事件展開審查,查找事實和協助環聯即時採取有關的補救措施,以減低可能造成的損失。公署強調,於環聯網站索取信貸報告的程序方面,在身份核實問題提供的答案選擇,設計上有保安風險。
金管局表關注 促全面調查
金管局發言人認為,環聯為香港銀行和其他信貸機構提供信貸資料服務,並不受金管局監管。不過,金管局得悉事件後,已與銀行和環聯進行溝通和了解情況,金管局對此表示關注,並且已透過銀行公會要求環聯立即全面調查事件,以及盡早提升認證程序。
銀行公會要求環聯在完成全面調查和作出適當系統修訂之前,提升保安措施,包括在所有個人網上查閱信貸報告時,作一次性密碼認證(One Time Password, OTP),或暫停透過信貸或中介機構網上平台的個人信貸報告查閱服務,以保障銀行客戶的個人信貸資料。
香港資訊科技商會榮譽會長方保僑說,公司註冊處已可取得公眾人士身份證,更重要的是環聯的核實身份問題設計上有漏洞,問題並非由查閱者填寫答案,加強保障前的版本,僅得兩個簡單問題,由環聯提供5選1的方式作答,有心人只需「撞中」兩個答案即可獲得敏感資訊。
加強保障後,增加至5條的問題中,據記者測試,如個人年齡、申請貸款銀行及最近個人貸款申請等,實際亦非難以得悉的資訊。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。