環聯漏洞 林鄭信貸資料任睇 資料庫載500萬人信貸報告 虛構身分輕易通過核證 業界新聞 2018-11-30 10:15:09
環聯資訊(TransUnion)載有逾500萬人借貸資料,近年積極開拓個人索閱信貸報告市場。不過,本報測試發現,持有目標人物的身分證號碼及公開資料,回答簡單問題,即可輕易通過核證並下載其詳盡信貸報告,內容包括電話、地址、借貸及逾期還款紀錄等多項敏感資料,記者依此方法便取得本港最高級官員特首林鄭月娥及管理財金事務的財政司長陳茂波等人的報告。私隱專員公署及金管局均表示關注事件,已展開調查,並要求環聯即時提升保安措施
私隱署自行測試 發現保安風險
私隱專員公署稱,已接獲環聯的資料外泄事故通報,並就事件展開循規審查。在獲悉事件後,公署自行初步測試,亦發現身分核實程序設計上有保安風險,呼籲相關機構即時停止索取報告程序,並堵塞懷疑的保安漏洞,提升並加強有關身分核實的步驟,例如採用多重身分核實方式、提升身分核實問題的難度等。署方又證實,過去5年收到1宗不法查詢他人信貸報告的投訴。
金管局透過銀公促環聯提升保安
金管局對事件表示關注,並已透過銀行公會要求環聯立即全面調查事件,以及盡早提升認證程序。銀行公會要求環聯在完成全面調查和作出適當系統修訂之前,提升保安措施,包括在所有個人網上查閱信貸報告時作「一次性密碼認證」(One Time Password, OTP),或暫停透過信貸或中介機構網上平台的個人信貸報告查閱服務。環聯及金管局已向私隱署通報,並會配合私隱署的跟進工作。
環聯指信貸報告被違法取閱
昨晚新加手機一次性密碼認證
環聯回覆稱,接獲本報查詢後即展開內部調查,初步顯示,記者獲取極少數信貸報告,報告並在違反香港法律下被取閱,已聯繫執法機關進一步調查。環聯已經提升反欺詐管制措施。本報昨晚測試,環聯網站已新加入手機一次性密碼認證措施。行政長官辦公室稱,對事件沒有補充。陳茂波則至截稿前未有回覆。
核證僅需身分證號碼屬實
從環聯官方網站索取信貸報告,須先開設帳戶並同時接受身分核證,共有兩個步驟。首先是輸入身分證號碼、姓名、出生日期及手機號碼等個人資料。不過,本報測試發現,除了身分證號碼,其餘資料即使虛構亦能順利進入下一步驟。本報從公司註冊資料取得林鄭月娥及陳茂波等人的身分證號碼及公開資料,結果通過了首階段核證。
次階段核證則要回答3條「五選一」選擇題,以第一條為例,問到特首的年齡,答案可輕易在網上找到;然後是持有哪一間金融機構的信用卡,當中只有一個選項是本港大型銀行;第三題問某信用卡最後4位數字,記者每次答「以上答案皆不適用」都能過關(見右圖)。事實上,記者一次測試已通過核證,經網站付款280元後,便取得林鄭月娥的詳細信貸報告,內容包括其信貸紀錄、過往及現時所有地址及電話等高度敏感資料。
中大會計學院高級講師李兆波就本報發現表示驚訝,認為環聯保安「極度寬鬆」,「這是一個大的保安漏洞」。他指信貸報告除了載有個人資料如手機號碼及地址等,最重要是個人借貸紀錄及還款資料。不法之徒或可以此資料冒認他人借貸,又或以你的真實資料作餌,要求市民付款改善自己信貸評級,李兆波坦言自己便曾被騙徒要求付款改善信貸評分(見另稿)。
方保僑批兒戲 如無掩雞籠
香港資訊科技商會榮譽會長方保僑批評,環聯資料庫載有大批港人的信貸及個人資料,但目前採用的身分核證措施非常「兒戲」,個人資料有如「無掩雞籠」隨意任人翻閱,他建議環聯立即停止個人索閱服務,並重新核實已註冊的帳戶的身分,避免不法之徒繼續利用已登記的戶口索閱他人信貸資料。
新聞轉載自明報
【明報專訊】《明報》在採訪過程中發現環聯信貸資料庫有保安漏洞,深入採訪時蒐集了一些個人資料,作確認和支持報道之用。明報強調,在偵查過程中只是以人力重複嘗試的手法進入系統,測試漏洞,並非以欺詐手法獲取資料,亦不涉及濫用。過程中取得的個人資料,只作報道之用,報道完成後,已於今日凌晨2時將相關個人資料全部銷毁。