私隱署:環聯4漏洞違原則 發通知促改善 不執行始違例

[2019.12.10] 發表

【明報專訊】本報去年揭發載有逾500萬人信貸資料的環聯資訊(TransUnion)出現保安漏洞,透過虛構身分可輕易通過核證,從而取得他人信貸資料。私隱專員公署其後就此向環聯調查,昨日發表報告,稱環聯的網上認證程序有4項漏洞,違反了《個人資料(私隱)條例》下有關資料保安的保障資料原則,已向環聯送達執行通知,要求改善;若環聯不執行才會觸犯條例。

環聯香港發言人回應稱正考慮有關報告,並會作出適當的後續步驟。發言人又說,環聯就事件及對顧客所造成的不便感到遺憾,已加強網上信貸報告服務的保安措施,並聘請了一間信譽良好的第三方機構檢視新系統,亦加強了針對網路保安的監控。發言人強調,環聯十分重視資料安全,並不斷審視及改善程式以識別和打擊日益複雜的網路犯罪活動,同時讓消費者更方便地查閱個人資訊。環聯未有回應預計何時重啟網上信貸資料查詢。

環聯:對顧客不便感遺憾 第三方檢視系統

私隱署的報告提到,環聯在網上認證程序中沒有採取所有切實可行的步驟,以確保由其持有的個人資料受保障,不受未獲准許或意外地被查閱或使用,因而違反了《私隱條例》下有關資料保安的保障資料原則。報告指出,私隱專員去年11月26至28日在環聯網站及5個伙伴的網站或手機程式做了20次網上申請信貸報告程序,測試顯示只要輸入正確的姓名及香港身分證號碼,無論輸入的出生日期或電話號碼是否正確,「基於知識的認證」均會進入下一步,即提出3或5條選擇題,而即使有一條問題回答錯誤,信貸報告仍可被查取。

署方實測 認證答錯照過關

因此,調查結果顯示環聯在資料保安方面的網上認證程序存在4項漏洞,包括(1)個人所輸入的全名和出生日期毋須與環聯資料庫的紀錄完全琣X;(2)有關認證的問題部分與環聯獨有的交易無關及答案因過時而易被剔除;(3)其他網站或手機程式的查取途徑,沒有因未能通過某一網站或手機程式的認證程序而被封鎖,變相可無限嘗試,以及(4)非所有申請均使用雙重認證。

私隱專員已向環聯送達執行通知,指令環聯停止在未經單次密碼認證下在網上發放信貸報告,或須作親身認證等。根據《私隱條例》,如在完成調查後發現資料使用者違反條例規定,私隱專員可發出執行通知,指令糾正;違反專員發出的執行通知才屬犯罪,最高可被罰款甚至監禁。

至於在資料使用方面,調查報告指出環聯的資料顯示及轉移資料予伙伴並不違規。私隱專員另向環聯提出5項建議,包括定期檢討網上認證程序(見另稿)。

本報去年揭露環聯的保安漏洞,經本報測試後發現,只需持有目標人物的身分證號碼及公開資料,回答簡單問題例如年齡後,即可通過核證並取得其詳細信貸報告,當中包括借貸及逾期還款等多項敏感資料。

■明報報料熱線﹕inews@mingpao.com / 9181 4676

更多港聞
扮洗頭水沐浴露 海關檢液態可卡因
【明報專訊】海關周日(8日)在機場截查一名由柬埔寨金邊抵港、報稱為農夫的21歲內地男旅客,在其寄艙行李發現兩支1公升裝洗頭水及1支1.2公升... 詳情
居屋首揀樓 八成買何文田  日賣53伙  冠德苑「樓王」半小時售出
【明報專訊】新一期以市價五九折出售的居屋,昨日開放予準買家揀樓,其中何文田冠德苑最受歡迎,在昨日53個售出單位中佔42個(近八成)。有22歲... 詳情
【明報專訊】房委會今期推售的6個全新居屋屋苑,在評定市價時是參考截至今年2月中的樓價,包括每個新屋苑附近的私人和其他居屋屋苑在公開市場的成交... 詳情
航空App助機師「無紙看氣象」 天文台與業界合作 國泰每周省16萬張紙
【明報專訊】航空安全關乎人命,機師在航班起飛前需翻閱厚甸甸的「飛行計劃」文件做好準備。香港天文台與航空界合作,推出電子飛行包天氣應用程式(A... 詳情
【明報專訊】早前,萬維網發明人、有「互聯網之父」稱號的Tim Berners-Lee發起了全球「救網」計劃。他花了一年與80個組織合力制訂出... 詳情

明報網站 · 版權所有 · 不得轉載
Copyright © 2019 mingpaocanada.com All rights reserved.
Ming Pao Daily News A wholly owned subsidiary of Ming Pao Enterprise Corporation Ltd.
Toronto Chinese Newspaper

1355 Huntingwood Drive, Scarborough, Ontario, Canada M1S 3J1 | Tel.: (416) 321-0088 | Fax: (416) 321-9663 | Advertising Hotline Tel: (416) 673-8250