私隱署：環聯4漏洞違原則 發通知促改善 不執行始違例

私隱署：環聯4漏洞違原則發通知促改善不執行始違例

[2019.12.10] 發表

【明報專訊】本報去年揭發載有逾500萬人信貸資料的環聯資訊(TransUnion)出現保安漏洞，透過虛構身分可輕易通過核證，從而取得他人信貸資料。私隱專員公署其後就此向環聯調查，昨日發表報告，稱環聯的網上認證程序有4項漏洞，違反了《個人資料(私隱)條例》下有關資料保安的保障資料原則，已向環聯送達執行通知，要求改善；若環聯不執行才會觸犯條例。

環聯香港發言人回應稱正考慮有關報告，並會作出適當的後續步驟。發言人又說，環聯就事件及對顧客所造成的不便感到遺憾，已加強網上信貸報告服務的保安措施，並聘請了一間信譽良好的第三方機構檢視新系統，亦加強了針對網路保安的監控。發言人強調，環聯十分重視資料安全，並不斷審視及改善程式以識別和打擊日益複雜的網路犯罪活動，同時讓消費者更方便地查閱個人資訊。環聯未有回應預計何時重啟網上信貸資料查詢。

環聯：對顧客不便感遺憾第三方檢視系統

私隱署的報告提到，環聯在網上認證程序中沒有採取所有切實可行的步驟，以確保由其持有的個人資料受保障，不受未獲准許或意外地被查閱或使用，因而違反了《私隱條例》下有關資料保安的保障資料原則。報告指出，私隱專員去年11月26至28日在環聯網站及5個伙伴的網站或手機程式做了20次網上申請信貸報告程序，測試顯示只要輸入正確的姓名及香港身分證號碼，無論輸入的出生日期或電話號碼是否正確，「基於知識的認證」均會進入下一步，即提出3或5條選擇題，而即使有一條問題回答錯誤，信貸報告仍可被查取。

署方實測認證答錯照過關

因此，調查結果顯示環聯在資料保安方面的網上認證程序存在4項漏洞，包括(1)個人所輸入的全名和出生日期毋須與環聯資料庫的紀錄完全脗合；(2)有關認證的問題部分與環聯獨有的交易無關及答案因過時而易被剔除；(3)其他網站或手機程式的查取途徑，沒有因未能通過某一網站或手機程式的認證程序而被封鎖，變相可無限嘗試，以及(4)非所有申請均使用雙重認證。

私隱專員已向環聯送達執行通知，指令環聯停止在未經單次密碼認證下在網上發放信貸報告，或須作親身認證等。根據《私隱條例》，如在完成調查後發現資料使用者違反條例規定，私隱專員可發出執行通知，指令糾正；違反專員發出的執行通知才屬犯罪，最高可被罰款甚至監禁。

至於在資料使用方面，調查報告指出環聯的資料顯示及轉移資料予伙伴並不違規。私隱專員另向環聯提出5項建議，包括定期檢討網上認證程序(見另稿)。

本報去年揭露環聯的保安漏洞，經本報測試後發現，只需持有目標人物的身分證號碼及公開資料，回答簡單問題例如年齡後，即可通過核證並取得其詳細信貸報告，當中包括借貸及逾期還款等多項敏感資料。

■明報報料熱線﹕inews@mingpao.com / 9181 4676