商戶碌卡系統過時 易洩密
信用卡屬於全球通行付款方式,但香港作為購物天堂仍有不少商戶使用過時的信用卡付帳系統,容易外洩客戶信用卡資料。本港大部分商戶仍利用讀取磁帶和壓印信用卡作交易方式,卡資料儲存於商戶系統上,若商戶電腦被黑客入侵,曾被讀取的卡資料,如卡號、到期日、持卡人姓名甚至安全驗證碼都會被盜走,複製卡就會通行全球。調查機構建議市民及商戶均需要提升保安意識,「碌卡」時需要在客人面前用手提刷卡機進行,持卡人應及早換取附有晶片的信用卡,加強資料的防護。
香港資訊及系統保安專業人員協會顧問龐博文表示,常見讀取信用卡磁帶資料方式,會將資料輸入至系統以完成交易,系統被入侵就能套取相關資料,黑客入侵時不會理會對方是否大型企業,「網上只會見到一堆IP位址,無分大中小企業,黑客只會選容易入侵的系統」,「但因為信用卡公司系統保安嚴密,所以較少選擇入侵」;他指外國多個大集團亦曾被入侵,如Sony PlayStation和Goodwill等。碌卡過程也容易被盜取資料,如商戶職員會收取客戶的信用卡後以壓印方式套取卡資料,或在客戶視線範圍外「碌卡」,所留下的資料都容易被利用製成一張「新卡」。
半日完成入侵 即可盜用
龐又指,有犯罪集團會在黑市出售信用卡資料,每張約以五至二十美元(折合約三十九至一百五十五港元)出售,「Hack(入侵)完一個(商戶),可以(信用卡資料)賣給不同集團賺錢」,「Hacking最快只需半日,加上製卡亦只需數小時,就可以成張卡盜用」。
立法會議員葛珮帆指,現時信用卡已安裝晶片金鑰裝置,只要商戶使用新式晶片讀卡系統就能安全交易,資料不會儲存於商戶系統。但香港不少商戶如書局、服裝店、戲院、快餐店或保險公司等仍使用過時的系統,龐博文說,未更新碌卡系統的商戶估計是因更新費用龐大。
葛建議,市民應避免讓商戶職員以壓印和讀取磁帶信用卡方式交易,又或改以現金等其他方式付款。商戶亦應盡快更新信用卡交易系統,並為員工制訂資訊保安指引和培訓,萬一發現客戶資料外洩應立即舉報,並通知受影響客戶。她稍後將約見私隱專員公署,了解有關信用卡私隱洩漏的風險。