7銀行停發「嘟機式」信用卡 指引發3年 問題卡照流通
【明報專訊】非接觸式信用卡可被手機應用程式讀取資料,或泄露客戶姓名,金管局昨日終披露7家涉事銀行的名單。有網絡保安專家指,非接觸式信用卡被隔空讀取個人資料,早於2012年在美國引發爭論,本港金管局亦於同年發出指引,要求相關信用卡不能載有客戶姓名等非必要資料,質疑3年來未有改善。涉事的包括Visa payWave信用卡,Visa發言人回覆本報稱,已即時就事件與包括製卡商及各發卡金融機構作檢討,又指感應式支付卡設有多重保安措施,如讀卡距離短和獨特的保安密碼。
金管局昨日公開點名7家銀行的部分信用卡不符合標準,包括中國銀行(香港)、交通銀行香港分行、 中信銀行(國際)、大新銀行、星展銀行(香港)、華僑永亨銀行和中國工商銀行(亞洲)。局方指相關拍卡支付功能加密要求有漏洞,並要求涉事銀行盡快制定及公布有問題信用卡的回收及更換計劃。本報向7家銀行查詢,全部表示已停發新卡並計劃更換有問題的舊卡(見表)。
金管局:不代表風險增加
金管局解釋,有關信用卡可透過非接觸方式讀取資料,但並不代表會因此而增加非接觸式信用卡在保安方面的風險,今次引起公眾關注,意在作風險管理。局方未有披露今次事件牽涉多少張信用卡,亦未有回應是否早於2012年已知悉有關漏洞。
2012年美專家公開示範保安漏洞
香港互聯網協會網絡保安及私隱小組召集人楊和生表示,早於2012年,美國著名電腦保安專家Kristin Paget已揭發非接觸式信用卡會透過讀取裝置泄露個人資料,當時更公開示範如何讀取陌生人信用卡內的資料,事件在當地引起極大迴響,民眾及傳媒紛紛要求銀行改善,香港金管局亦於同年向銀行提出相關要求,有關信用卡不能載有非必要資料,例如卡主姓名。
IT界質疑銀行待卡續期才換新
香港資訊科技商會榮譽會長方保僑則表示,其手上分別有兩張新、舊的星展銀行payWave信用卡,舊卡於今年4月到期,用具NFC(近場通訊)功能的手機,可輕易讀到包括卡主全名的個人資料,惟於4月取得的新卡則不再顯示姓名。他表示不知道銀行是否早知相關漏洞,但如等到信用卡到期才更新晶片是太長時間,「要等到信用卡到期才更換,可能已跟不上潮流」。
香港專業教育學院(柴灣分校)資訊及通訊科技系主任梁秉雄認為,用戶處於較被動的角色,認為銀行有責任將資料加密,以提高保障,但明白更改晶片或讀取系統需時,惟金管局已給充分過渡期予銀行更新信用卡,質疑3年後仍有不符合標準的信用卡在市面流通是太久。