港電子錢包認證漏洞須堵塞

By on November 6, 2018

本文刊於《信報》專欄「科網人語」

轉數快的eDDA服務早前被不法分子利用騙錢。(資料圖片)

轉數快的eDDA服務早前被不法分子利用騙錢。(資料圖片)

快速支付系統「轉數快」的eDDA 「即時電子直接扣賬授權」服務,早前被不法分子利用其漏洞,綁定「無實名制」的電子錢包並騙去金錢,其後金管局出手,叫停所有eDDA服務,要求電子錢包綁定所有銀行戶口之前,都必須利用一次性的密碼認證,以確保銀行戶口的持有人知道戶口被綁定在電子錢包上,風波才得以暫時平息。

惟截至截稿前,轉數快的eDDA仍然未能重新投入服務。

不過「一波未平,一波又起」,上星期有傳媒報道指出,有不法分子利用一些盜取得來的信用卡資料,綁定在「無實名制」的電子錢包上,由於有部分信用卡沒有發出短訊作兩步驗證,信用卡持有人便無法得知其信用卡被綁定在別人的電子錢包上,因而被騙去金錢。雖然這次事故並不是「轉數快」平台,但是問題卻是殊途同歸。

不論是電子錢包與銀行,或者是電子錢包與信用卡公司,如果兩間公司均是獨立運作,他們固然不會知道對方的客戶是誰,更遑論知道其電話號碼。有些銀行或者信用卡公司,若在綁定電子錢包驗證時比較嚴謹,就會做雙重認證,但有些完全依賴電子錢包一方做KYC(認識你的客戶)的步驟,因而製造出漏洞,讓不法分子有機可乘,所以金管局再次出手,明確表示電子錢包必須在信用卡發卡機構利用一次性密碼(OTP)或者其他有效方法,確認卡主授權之後,才可以綁定信用卡。

希望經過今次事件,可以進一步修補「轉數快」和電子錢包的漏洞,以及優化整個過程。今次事件可謂化危為機,當局亦應汲取是次經驗,日後不單止要扮演監管角色,更應進一步促進業界不同板塊的溝通,令香港的金融科技繼續發揚光大。

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們