環聯保安嚴重漏洞 林鄭信貸資料外泄

【星島日報報道】載有全港五百四十萬個市民信貸記錄的環聯資訊存在嚴重保安漏洞，環聯資訊近年積極與第三方平台合作，向市民提供免費查閱信貸報告服務，任何人只要輸入他人的身分證號碼及簡單個人資料，以及回答幾條簡單的選擇題，便可輕易查閱他人的信貸報告。據悉，有人利用漏洞取得特首林鄭月娥的信貸資料，特首辦公室亦知悉此事。金管局方面大為緊張，近日向銀行查詢有否提供類似服務，並要求迅速回覆；私隱專員公署則成立小組跟進。 銀行界人士向本報記者表示，有第三者成功透過環聯（TransUnion）與第三方平台合作所推的「免費查閱信貸款服務」，成功取得特首林鄭月娥的信貸報告，顯示該服務的認證程序存在嚴重保安漏洞。用家透過該服務可輕易查閱他人的信貸資料，只須輸入簡單個人資料，以及回答幾條身分認證的簡單選擇題便可，而問題深淺主要視乎當事人風險程度的高低，以林鄭月娥而言，因屬低風險人士，回答的認證問題亦相對簡單，所以很易撞中答案，假若三次都無法答對所有問題，就被上鎖，不得再試，但有心人可再試用其他第三方平台。 對於林鄭的信貸資料也被人取閱，金管局及私人專員公署高度關注事件。銀行人士透露，金管局近日就有第三方服務提供者聲稱可讓市民免費向環聯查閱個人信貸報告，向銀行查詢有否提供類似服務？如有，與甚麼第三方合作？以甚麼形式提供？並要求銀行迅速回覆。 私隱專員公署昨夜則發新聞稿指，私隱專員黃繼兒已聯絡環聯並就事件展開循規審查，以查找事實和協助環聯即時採取有關的補救措施，以減低可能造成的損失。 公署得悉環聯表示已經即時提升保安措施，包括凍結有關帳戶並通知受影響人士及提供一次性密碼認證（OTP）。公署呼籲環聯及有關信貸或中介機構即時停止有問題的索取信貸報告程序，堵塞懷疑的保安漏洞，提升並加強有關身分核實的步驟，例如採用多重身分核實方式、提升身分核實問題的難度等，同時若發現有更多受影響人士，應盡快通知。公署亦曾進行相關初步測試，初步發現確有數項保安風險（詳情見表）。 金管局表示，得悉事件後，立刻與銀行和環聯進行溝通和了解情況，並獲告知有人透過環聯及部分信貸或中介機構的網上平台，經多次測試，不當地取得第三者的個人信貸報告。由於事件可能涉及銀行向環聯提供的個人信貸資料的安全性，金管局對此表示關注，並已透過銀行公會要求環聯立即全面調查事件，以及盡早提升認證程序。在未完成相關工作前，銀公要求環聯提升的保安措施，包括網上查閱信貸報告須作一次性密碼認證，或暫停透過信貸或中介機構網上平台的個人信貸報告查閱服務，以保障銀行客戶的個人信貸資料。金管局會配合私隱專員公署的跟進工作。 環聯表示，初步調查顯示，被有關人士獲取了極少數香港消費者的個人信貸報告，而這些信貸報告在違反香港法律的情況下被取閱。環聯已經聯繫了執法機關，以進一步調查此事。公司表示，根據目前的調查結果，已經迅速採取行動，提升反欺詐的管制措施以應對此等情況，並將持續進行調查。 有業界人士直指，環聯為本港唯一、獨大的信貸資料庫，近年與多個不同的第三方平台合作提供免費查閱信貸報告，實情是環聯向CreditGo、MoneySQ等第三方平台出售其所謂信貸報告方案服務圖利，而市民在同意第三方平台的條款下便可免費查閱自己的信貸報告，毋須繳付二百八十元的查閱費，其實第三方是可分享到市民所查閱的信貸資料，日後將作為銷售推廣用途，業界認為這存一個灰色地帶，或涉及道德問題。

睇更多