環聯現漏洞 信貸報告資料外洩

據《明報》報道，載有本港逾500萬人信貸資料的環聯資訊疑現嚴重漏洞！記者發現只要憑目標人物的身份證號碼及公開資料，回答數條簡單問題，便能通過身份核證步驟。而所得的信貸報告涉及多項敏感資料，包括其信貸評分、電話、地址、信貸賬戶號碼，和逾期還款等。私隱專員公署回覆指，接獲相關資料外洩事故通報，並已聯絡環聯並就事件展開循規審查。

私隱專員公署展開審查本
報記者曾嘗試使用與環聯合作的第三方平台查詢他人資料，取得對方身份證號碼、名字及出生日期後，輸入自己的電郵和電話號碼亦能通過首輪會員登記，第二步回答約五條的個人簡單信貸問題，例如持有多少張信用卡、屬於哪個生肖等，答錯一題或全對即可收到一次性密碼認證，隨後便能獲得他人的信貸報告。

現時以個人身份向環聯查閱信貸評級報告，需要按月收取280元費用，惟近期坊間出現多個平台與環聯合作，可供免費查閱信貸報告。是次出事源頭誰屬，實為關鍵。據了解，事發後有關平台已要求提供一次性密碼加強認證。

智慧城市聯盟金融科技委員會主席陳家豪指，環聯現時單以信用卡資料、交易紀錄和身份證信息作核實個人身份，並非最理想的保安機制，他建議可用「數碼個人身份」（eID），包括生物認證，以增加保安度。

環聯香港表示，已就事件展開內部調查，指已有多重程序的保安措施，對申請索取個人信貸報告的消費者進行身份認證。私隱專員公署回覆，已就事件展開循規審查，且呼籲環聯及有關信貸或中介機構即時停止有問題的索取信貸報告程序，堵塞懷疑的保安漏洞，提升並加強有關身份核實的步驟，例如採用多重身份核實方式、提升身份核實問題的難度等。

Categories: 環聯, TU