環聯信貸疑有嚴重漏洞 環聯:已凍結受影響賬戶

據明報報道,載有本港逾500萬人借貸資料的環聯資訊(TransUnion)現嚴重漏洞,記者發現只要憑目標人物的身份證號碼及公開資料,回答數條簡單問題,便能通過身份核證步驟。且以此方法取得公眾人物的信貸報告,內容包括其信貸評分、電話、地址、信貸帳戶號碼,和逾期還款等敏感資料。
就上述報道,本報記者曾嘗試使用與環聯合作的第三方平台查詢他人的資料,取得對方的身份證號碼、名字及出生日期後,輸入自己的電郵和電話號碼亦能通過首輪會員登記,第二步回答約五條的個人簡單信貸問題,例如持有多少張信用卡、屬於哪個生肖等,答錯一題或全對即可收到一次性密碼認證(One Time Password),隨後便能獲得他人的信貸報告,包括電話、地址、信用卡資料一覽無遺。
金管局發言人回覆本報查詢指,已立刻與銀行和環聯進行溝通及了解情況。環聯為香港銀行和其他信貸機構提供信貸資料服務,並不受金管局監管。
當局獲告知,有人透過環聯及部分信貸或中介機構的網上平台,利用多次測試的方法,通過環聯的動態問題認證程序,不當地取得儲在環聯的第三者的個人信貸報告。
私隱專員公署回覆,接獲環聯就索取信貸報告的程序懷疑出現保安漏洞而作出的資料外洩事故通報。已聯絡環聯並就事件展開循規審查,環聯表示已經即時提升保安措施,包括凍結有關賬戶並通知受影響人士及提供一次性密碼認證(OTP)。公署呼籲環聯及有關信貸或中介機構即時停止有問題的索取信貸報告程序,堵塞懷疑的保安漏洞,提升並加強有關身份核實的步驟,例如採用多重身份核實方式、提升身份核實問題的難度等。
智慧城市聯盟金融科技委員會主席陳家豪指,「作為信貸評級的擁有人,若有人要查閱我的信貸評級,我至少要有知情權,或者決策權,需得我同意才可授權有關人等查閱」。他續指,環聯現時單以信用卡資料、交易紀錄和身份證信息作核實個人身份,並非最理想的保安機制,他建議可用「數碼個人身份」(eID),包括生物認證,以增加保安度。
環聯香港表示,已就事件展開內部調查,指已有多重程度的保安措施,對申請索取個人信貸報告的消費者進行身分認證。環聯已採取行動,提升反欺詐的管制措施以應對此等情況,並將持續進行調查。

https://hk.finance.appledaily.com/finance/realtime/article/20181128/58970178