環聯(TransUnion)爆嚴重保安漏洞!載有 540 萬人信貸報告的信貸報告評級機構「環聯」,原來只要在官網輸入目標人物的身分證及虛假資料,回答三條簡單問題,即可通過核證成功登記,取得目標人物的信貸資料包括:信用卡資料、過往及現時持有物業及地址、手機號碼、48 個月內還款詳情等。有本地媒體測試,在環聯成功登記取得特首林鄭月娥的信貸私隱報告。據了解,環聯網站已即時停止信貸報告查詢服務,兼追加了 One Time Password(OTP)兩步驗證登記步驟,並去信林鄭月娥稱已採補救措施。私隱專員黃繼兒促環聯加強身分核實。
方保僑:好好反省
香港資訊科技商會榮譽會長方保僑表示:「環聯與各大銀行、信用卡及財務機構有聯繫,當你申請信用卡,或向銀行借貸,你的相關信貸紀錄會存到環聯;這些私隱資料包括:持有信用卡數量、信用額、欠款概況、擁有多少物業及地址、樓宇按揭或供車貸款等。你下次要借錢,銀行或借貸公司就會參考你的信貸評級報告,你的收入,衡量是否批核貸款。」
換言之,只要你申請信用卡、擁有銀行戶口、供樓或供車人士,毋須登記成為用戶,你的私隱已自動上繳予環聯。方氏狠批環聯要為今次事件負責,好好反省。
環聯系統「低能」
在環聯爆漏洞,未加入 OTP 兩步驗證措施之前,方保僑曾瀏覽環聯網頁進行保安測試。他在登記過程中,輸入自己的身分證號碼,輔以「老作」資料,成功查閱自己的信貸報告:「呵!原來我有 3 張 Aeon 卡,我都唔知,佢知!」
方氏以「低能」形容環聯登記系統:「登記人只要填入身份證號碼(好多政府登記註冊服務都會搵到),然後姓名、電話同埋電郵都可以亂咁打,跟住就答三條問題,第一條問你幾多歲(又係好容易查到),第二條問你有幾多張邊間發咭公司嘅信用卡,第三條係問你總共有幾多張信用卡(我揀咗以上答案都不是,其實我根本冇數過)咁就完成登記,兩條問題有廿五分之一機會撞中,撞唔中仲可以試多兩次,然後仲可以去啲艇仔度再試過,你話可以撞中嘅機會有幾高?」
「要做好 KYC」
方保僑狠批:「登記環聯所需要的資料如身分證、姓名、電話、電郵、年齡,其實很易上網搵到,尤其曾參加選舉的名人!」他指出:「擁有大量個人私隱的公司,一定要做好 kYC(Know Your Customer)。環聯仲話要參與金融管理局正在籌備「專業資訊機構」(KYC Utility)項目,搞「專業資訊機構」就更加需要 eKYC(electronic Know Your Customer),包括:用手機短訊進行 OTP 兩步驗證,或上傳身分證副本。」他明白網上世界做 eKYC 有難度,但如果做得不好,市民損失的不只是金錢,還有比金錢更重要的私隱資料。
質疑合作平台
此外,方保僑所指的「艇仔」,即與環聯有聯繫,強調為香港人免費提供信貸報告及信貸評分查閱服務的合作平台,包括:CreditGo、WeLend 和 MoneySQ。他質疑環聯與這些第三方信貸查閱服務平台之間的合作關係,是否涉及胡亂販賣消費者的個人資料及私隱,他擔心消費者的權益難被保障。
【相關報道】
【相關報道】
Source:transuion, hket, 明報