銀公金管局都「管唔到佢」 特首辦促速補救保民權益
香港文匯報訊 (記者 文森)香港再爆出個人資料外洩事件。載有全港540萬名市民信貸記錄的香港環聯資訊有限公司,疑存在保安漏洞,令客戶信貸資料外洩。有傳媒發現,只要憑目標人物的身份證號碼及公開資料,回答簡單問題,便能通過身份認證步驟,取得其載有信貸評分、逾期還款等敏感資料的信貸報告,並以此方法取得行政長官林鄭月娥及財政司司長陳茂波等人的報告。有立法會議員指,環聯並非銀行,不受銀行公會監管,用戶信貸資料亦毋須受金管局監管,認為事件存在監管漏洞。個人資料私隱專員公署已就事件開展循規審查。
環聯是全港唯一消費者信貸資料服務機構,資料庫載有540萬個消費者的信貸記錄。《明報》前日報道,環聯存有資料漏洞,只須持有個別人士的身份證號碼及公開資料,並回答數條簡單問題,即可輕易通過認證,甚至下載其詳盡信貸報告、電話、地址、信貸評分及逾期還款記錄等敏感資料。
「報假料」竟過關
報道指出,從環聯官方網站索取信貸報告,須先開設賬戶並同時接受身份核證,共兩個步驟。首先輸入身份證號碼、姓名、出生日期及手機號碼等個人資料。惟測試發現,除身份證號碼,其餘資料即使虛構亦能順利進入下一步驟。該報從公司註冊資料取得林鄭月娥及陳茂波等人的身份證號碼及公開資料,順利通過首階段核證。
環聯已暫停網上信貸查詢
次階段核證需回答3條「五選一」選擇題,第一條問到特首年齡,答案可輕易在網上找到,然後是持有哪一間金融機構的信用卡,第三題問某信用卡最後4位數字,記者每次答「以上答案皆不適用」,都能過關。
報道指出,記者經一次測試已通過核證,經網站付款280元後,即取得林鄭月娥的詳細信貸報告,內容包括其信貸記錄、過往及現時所有地址及電話等高度敏感資料。
事件曝光後,環聯回應指,對有關報道的指稱已展開內部調查,強調該公司設有多重程度的保安措施,對申請索取個人信貸報告的消費者進行身份認證,又指已迅速採取行動,提升反欺詐的管制措施,並將持續進行調查。
環聯又指,該公司高度重視安全問題,現已暫停在香港的所有網上消費者信貸報告查詢服務,即時生效。服務恢復後會立即對外公佈。
有記者昨日再嘗試以同樣方法索取報告,已無法登入。
林鄭月娥昨晨出席活動時沒有回應事件。行政長官辦公室發言人昨日傍晚表示,行政長官已收到環聯來信,表示已採取補救措施加強保護。
特首辦指,環聯持有大量市民個人資料,有責任採取有效保安措施加以妥善保護,如系統出現漏洞,環聯必須盡快作出補救,以保障市民權益。
個人資料私隱專員黃繼兒接受電台訪問時表示,事件或涉設計上的漏洞,該公司已加設密碼認證等措施以堵塞。
專員公署已開展循規審查,料數個月後有結果。他續說,即使機構已完善有關設計,但事件並非劃上句號,於調查後會勸喻或警告相關機構,以免再發生類似情況。
葛珮帆批保安「離譜地兒戲」
立法會資訊科技及廣播事務委員會主席葛珮帆形容,事件屬重大保安漏洞,批評環聯的資訊保安和資料管理工作「離譜地兒戲」,不負責任。
她認為,環聯應即時停止讓任何人取閱資料,全面檢討和提升保安系統,之前登記過的客戶需重新登記,日後亦應以雙重認證方式,減少個人資料外洩機會。
資訊科技界立法會議員莫乃光指出,環聯並非銀行,不受銀行公會監管,用戶信貸資料亦毋須受金管局監管,或存在監管漏洞。他已發信要求立法會財經事務委員會,邀請金管局、銀行公會及個人資料私隱專員,討論用戶個人資料的處理及有否出現漏洞。
金融界立法會議員陳振英表示,環聯對銀行而言是服務提供者,如果服務出了問題,銀行可以施壓,但目前業界卻只有一間共用信貸資料庫,就是環聯。