【明報專訊】大批市民信用卡資料被盜用，不少個案都有兩個共通點，一是大部分人曾在網上報名參加運動賽事，二是問題交易以歐元或美元在海外結算。有資訊保安專家針對上述共通點，歸納發生今次事件的三大可能：有騙徒以虛假付款頁面誤導用家以騙取個人資料、從網站盜取顧客地址及信用卡資料、利用未被發現的保安漏洞攻入網站取得資料。

專業資訊保安協會項目總監梁國基表示，一個可能是黑客首先入侵報名網站的伺服器，然後加入程式碼引導用戶到一個虛假付款頁面(payment gateway)，再從中偷取報名者的信用卡號碼以及授權碼等敏感資料。他形容，有關做法在國際上常見，加上一般報名網站資訊保安程度遠不及銀行付款頁面，較易受到黑客入侵。

至於部分今年無報名參與賽事的用家，其信用卡亦遭盜用，梁國基認為可能有運動賽事的網站儲存了包括受害人地址、姓名以及信用卡號碼的資料，為不法之徒盜取利用。他稱，在歐美等地，商戶只需輸入結帳地址(billing address)及信用卡號碼等資料，毋須信用卡背面的3位檢查碼(CVV)仍可直接獲授權，「這樣便可以解釋為何大部分受害人，都有以歐元和美元結算的交易」。

梁國基指，另一種可能是黑客用網頁未被發現的保安漏洞，或以較新的入侵技術獲取受害人信用卡資料。他又指，本港銀行在交易後會向持卡人發出短訊，但僅部分銀行容許持卡人以短訊回覆來拒絕交易，其餘只顯示交易詳情，並列出如有可疑可致電銀行查詢的建議。