環聯暫停網上查詢信貸

載有五百四十萬名巿民信貸紀錄的香港環聯資訊有限公司,被揭索取信貸報告的程序懷疑出現保安漏洞後,宣布已暫停在香港的所有網上消費者信貸報告查詢服務,即時生效。環聯昨已報警處理,案件交網絡安全及科技罪案調查科跟進。個人資料私隱專員公署正展開循規審查,預計需數月完成,初步測試發現網站在身份認證問題設計有保安風險。立法會議員認為事態嚴重,且環聯不受金管局及銀行公會監管,要求政府規管漏洞。

環聯在聲明中指已暫停在香港的所有網上消費者信貸報告查詢服務,即時生效,日後服務恢復後,將立即對外公布。環聯是全港首間及唯一消費者信貸資料服務機構,資料庫載有巿民信貸紀錄,包括信貸評分、逾期還款等敏感資料,個人資料私隱專員黃繼兒昨在電台節目上稱,初步發現只需要輸入基本資料就會轉入另一個網頁,對方只會查詢很普通的問題,答「以上皆不是」的選項,有機會撞入去系統,令資料外洩。

私隱署促加強身份核實程序

公署又發現,如透過中介機構網頁連結到環聯資訊的網頁,或在環聯資訊的應用程式亦很容易撞中,看到信貸風險的報告。黃續稱,環聯資訊網頁前日起採用一次性密碼認證,是自發採取的措施,公署建議透過多重認證密碼,採用兩次性或一次性密碼,以加強身份核實程序。

金管局指環聯為香港銀行和其他信貸機構提供信貸資料服務,不受該局監管,但可能涉及銀行向環聯提供個人信貸資料的安全性,該局表示關注,並已透過銀行公會要求環聯立即全面調查事件和作出適當系統修訂前,盡早提升保安措施。

立法會資訊科技界議員莫乃光指事件嚴重,個人金融財務資料屬敏感個人資料,需特別小心保護,質疑有關公司在未有足夠認證程序下把客戶的資料放出去。

現不受金管局銀行公會監管

金管局及私隱專員均收到有關報告,料會作出調查,惟環聯不受金管局監管,亦非銀行,政府應研究現時規管是否有漏洞,以及有何措施保障市民。

議員葛珮帆形容有五百萬人的信貸資料可被取閱是重大保安漏洞,批評涉事公司未有用盡方法去保護個人資料,網上身份認證方法不合格、兒戲及不負責任,坦言︰「有認證等於冇認證。」她促請環聯停止使用有關系統及全面提升系統保安。她曾收到銀行電話問她需否借貸,對方可說出她持有其他銀行戶口及信用卡資料,擔心個人資料被竊取。

行政長官辦公室發言人稱,就行政長官的個人資料,行政長官已收到環聯來信,表示已採取補救措施加強保護。環聯持有大量市民個人資料,有責任採取有效的保安措施加以妥善保護,如系統出現漏洞,環聯必須盡快作出補救。

第一手消息請下載on.cc東網iPhone/iPad/Android/Windows Phone Apps