[mtr]

https://hk.finance.appledaily.com/finan ... 8/59075764

2018年12月28日

【動大事2018】最驚心資料外洩奇案 逼月繳環聯280元 與騙徒長期戰

個人信貸評級機構環聯（TU）上月被揭發保安漏洞，後患無窮。有市民懷疑自己身份證號碼外洩，騙徒利用第三方平台獲得更多個人資料，包括住址、信貸紀錄等，藉此冒認事主、致電銀行要求重發信用卡，並截取事主新卡企圖到金舖「碌卡」。苦主曾向警方及私隱專員公署求助，但兩署均「無計可施」。現時唯有每月「交保護費」，自動上繳280元月費予環聯監察個人的信貸資料。


「根本冇得settle，我在明，個賊在暗，我都唔知幾時先完！」電影般的情節，幕幕在現實生活中上演。今年8月初，市民何生（化名）分別收到渣打及美國運通的重發信用卡申請通知。何生從未曾發出要求，即晚向兩間公司查詢，對方稱何生曾致電客戶服務熱線，且通過身份驗證以及要求重發新卡，何生大驚之下，立即取消相關要求，並且即日報警備案。


但騙徒死心不息，其後再以不同理由致電銀行、誘騙重新發卡，如「坐彎咗張咭用唔到」、「收唔到重發新咭」、「確認咗但簽咭時做唔到，所以掉咗」。兩天後，賊人得償所願、取得事主新卡後，到金舖嘗試簽賬但失敗，何生得悉後，再向度警方報案，及落口供立案。


其間事主嘗試在提供免費信貸報告服務的第三方平台查閱個人信貸紀錄，方驚覺身份已被人登記，包括應用程式CreditCheck、平台 MoneySQ 和 i-Choice。電話、地址、身份證號碼、個人信貸紀錄被一覽無遺，猶如中門大開，「最驚係個賊唔知幾時用我嘅身份去借財仔錢，佢又有晒我嘅地址、ID資料！」


「我都好驚，又要同個賊鬥快！因為我根本無得揀，唔去share啲資料畀呢啲免費第三方平台。」何生告知環聯其個人資料被不當盜用，後來因為個案特殊，成功將資料從第三方平台「斷纜」，「職員一講完，我就即刻上晒各個可以免費查閱信貸評級嘅平台登記，確保登記者真係我自己本人，而唔係個賊！你話呢種擔驚受怕係幾咁折磨！」


如今，何生每月只可交「保護費」自保，上繳280元月費予環聯，監察自己的信貸資料有否被盜用。

他控訴環聯驗證上存在極大漏洞，「環聯驗證個人身份問題淨係問三題，有啲問題仲好簡單，例如問你咩生肖、答案有時5個選項入面有3個都係啱，就算答錯戶口鎖咗，係可以打畀佢哋，用名、出生日期、ID解返鎖，再試過。」


直至環聯上月被揭發資料安全漏洞，驗證問題由3條增至5條，以及採用一次性密碼認證（OTP），但後來環聯亦宣佈暫停香港所有網上消費者信貸報告查詢服務。


每日活在惶恐之餘，何生實質上亦收到騷擾。「我一向無借任何私人貸款、卡數每月清，事發後突然收到好多財務機構的短訊同借錢電話。」


環聯發言人確認8月份已得悉有關事件，並立即與事主聯繫和處理。公司於上月已暫停在香港的所有網上消費者信貸報告查詢服務，指現正添加更多安全保障程序，惟未有回應是否會檢討與第三方平台的合作模式。


警方回覆指，案件列作「以欺騙手段取得財產」，由旺角警區刑事調查隊第三隊跟進，暫未有人被捕。

[mtr]

https://hk.finance.appledaily.com/finan ... 8/59077416

2018年12月28日

【動大事2018】資料被盜折磨無了期 苦主求助無門

苦主何生曾向私隱專員公署求助，並告知環聯及相關第三方平台，驗證過程有問題令其資料外洩。據他引述公署人員表示，「因為個賊係用真實資料，而環聯又有驗證問題，咁啱畀個賊撞到，咁唔能夠講話呢啲機構保障私隱有問題。」


翻查《個人資料(私隱)條例》第37條4c，列明「投訴人必須具體指明被投訴者的身份，即提供被投訴者的姓名及聯絡資料。只提供追尋被投訴者身份的途徑，例如網站或電話號碼，而沒有識別其身份的其他資料，一般來說是不足夠的。」


個人資料私隱專員黃繼兒稱，若不幸發現個人資料遭盜用或涉及盜竊/詐騙活動等刑事罪行，當事人應盡快報警及向所屬銀行求助，公署如接獲有關個案亦可能會轉介予警方以作刑事調查及考慮檢控。


至於賊人盜用何生的資料、利用電話申請補領信用卡，令受害人憂慮發卡銀行電話認證過程簡單，「打畀CS（客服），要通過身份驗證，但問嘅問題不外乎出生日期、住址；平時用咩方式交卡數；張信用卡係Visa定Master，最離譜係有次個賊答錯咗，CS再問多佢另一題，答返啱就無事。」


渣打銀行回應表示，一般情況下，當卡主致電補領信用卡時，該行必須先核實個人資料，成功驗證卡主身份後，會於下一個工作天，會向卡主登記的電話號碼發出短訊以作通知。如報失信用卡，該行亦會即日發出短訊通知。

[mtr]

https://hk.finance.appledaily.com/finan ... 8/59076684

【動大事2018】被偷睇信貸紀錄 方保僑：肯定唔係唯一例子

若果信用卡號碼外洩，仍可向發卡銀行要求重發，但身份證號碼「伴隨一生」根本無法改變。


從事網絡保安三十年的網絡保安專家Michael Gazeley直言，「根本好多機會都可以洩露ID，你去中環是旦入一楝大廈，保安都一定要攞你張ID CARD，唔係佢都唔比你上去...又或者洩露屋企地址的話，唔通你一家大細又搬咩！」


Michael更擔憂，「黑客會將偷到個人資料放上Dark Web，假如一個Hack到你銀行，一個Hack到醫療資料，加埋加埋就好似鏡頭Focus咁，愈校愈清楚。」黑客會靠這些資料扮成用戶本人，致電銀行借貸，「原來黑客所掌握的資料，可能比你本人更為清晰。」他建議用戶必須恆常更改登入密碼，且將不同電郵戶口，分類處理不同所需。


香港資訊科技商會榮譽會長方保僑相信，事件只是冰山一角，直言事主十分「唔好彩」，但肯定唔係唯一例子。「環聯根本無做過KYC（認識你的客戶），報告有晒每個人嘅私隱資料，買樓、買車做過嘅按揭等等信貸紀錄，點解把關可以咁混賬？」


他指金融機構，如銀行間互換信貸紀錄是有實質需要，但質疑環聯與第三方平台的商業合作，導致市民的信貸資料被用作交易，「咁同當年八達通出賣客戶『日日賞』資料有咩分別？兩者之間係咪應該劃清界線呢？」另外有說法指伴侶間會查看對方的信貸報告，「關咩事？明顯係呢個系統已經被人濫用。」

[peterso]

[mtr]

紅資襲港 劍指環聯 意在銀公
https://bit.ly/2LPLTLn

【畢打街閒人】環聯信貸背後跟中資的博奕衝突（渾水）
https://hk.lifestyle.appledaily.com/nex ... %E6%B0%B4-

【銀行開放API　未來生活會係點？ 】
https://www.facebook.com/hkmagovhk/post ... 8639094463