環聯信貸查閱報告存漏洞洩私隱

By on November 29, 2018

原文刊於信報財經新聞

香港近日多次爆出個人資料洩漏事件,管理約500萬人信貸資料庫的環聯亦出現事故,有傳媒報道指出,以身份證號碼及簡單個人資料,並在環聯網站回答數個簡單問題,即可取得如信貸評分、電話號碼、地址及信貸賬戶號碼等敏感個人資料。環聯回應稱,事件並非網絡攻擊,有關記者獲取極少數個人信貸報告,而報告在違反香港法律的情況下被取閱,公司已聯絡執法機關,及通報私隱專員公署以進一步調查此事件。

指非網絡攻擊 收緊核實身份

環聯已隨即收緊查閱信貸資料審核步驟,在核實身份的問答環節中,答錯一次後即被封鎖賬戶;據悉,過往答錯數次才會被鎖封。

環聯表示,《明報》早前與該公司聯繫,公司隨即對《明報》的指稱展開內部調查。

根據初步調查顯示,有關記者獲取了極少數香港消費者的個人信貸報告,這些信貸報告在違反香港法律的情況下被取閱。環聯已經聯繫了執法機關,作進一步調查。此次事件並非網絡攻擊,而是他人濫用消費者資訊、以欺詐的手法,從而獲取消費者個人信貸資料。

私隱專員公署昨強調,私隱專員黃繼兒接獲環聯通報,已聯絡環聯並就事件展開審查,查找事實和協助環聯即時採取有關的補救措施,以減低可能造成的損失。公署強調,於環聯網站索取信貸報告的程序方面,在身份核實問題提供的答案選擇,設計上有保安風險。

事故出現後,環聯已隨即收緊查閱信貸資料審核步驟。(黃勁璋攝)

事故出現後,環聯已隨即收緊查閱信貸資料審核步驟。(黃勁璋攝)

金管局表關注 促全面調查

金管局發言人認為,環聯為香港銀行和其他信貸機構提供信貸資料服務,並不受金管局監管。不過,金管局得悉事件後,已與銀行和環聯進行溝通和了解情況,金管局對此表示關注,並且已透過銀行公會要求環聯立即全面調查事件,以及盡早提升認證程序。

銀行公會要求環聯在完成全面調查和作出適當系統修訂之前,提升保安措施,包括在所有個人網上查閱信貸報告時,作一次性密碼認證(One Time Password, OTP),或暫停透過信貸或中介機構網上平台的個人信貸報告查閱服務,以保障銀行客戶的個人信貸資料。

香港資訊科技商會榮譽會長方保僑說,公司註冊處已可取得公眾人士身份證,更重要的是環聯的核實身份問題設計上有漏洞,問題並非由查閱者填寫答案,加強保障前的版本,僅得兩個簡單問題,由環聯提供5選1的方式作答,有心人只需「撞中」兩個答案即可獲得敏感資訊。

加強保障後,增加至5條的問題中,據記者測試,如個人年齡、申請貸款銀行及最近個人貸款申請等,實際亦非難以得悉的資訊。

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們