環聯資料外洩 私隱專員黃繼兒:設計存漏洞 審查料數月後有結果

撰文:張嘉敏
出版:更新:

《明報》報道環聯資訊(TransUnion)存有資料漏洞,只須持有個別人士的身分證號碼及公開資料,並回答簡單問題,即可輕易通過核證,甚至下載其詳盡信貸報告,及電話、地址、借貸及逾期還款紀錄等敏感資料。
私隱專員黃繼兒今日(29日)接受商業電台節目的電話訪問時稱,事件或涉及設計上的漏洞,稱現已加設密碼認證等措施,以堵塞漏洞。他稱公署已開展循規審查,料數個月後有結果。

環聯設計存漏洞,令資料外洩。(網上圖片)

根據明報報道,只須持有目標人物的身分證號碼及公開資料,後回答3條「五選一」選擇題,如年齡等,即可輕易通過核證並下載其詳盡信貸報告。報告中包括電話、地址、借貸及逾期還款紀錄等敏感資料,報章甚至以此方法取得本港最高級官員,包括特首林鄭月娥及管理財金事務的財政司長陳茂波等人的報告。

私隱專員黃繼兒於訪問中稱,周三接獲環聯通報,稱有不正常的資料外洩,其後署方聯絡環聯,雙方先就堵截漏洞方法交換意見,以保障客戶個人資料。

私隱署曾建議多重認證方法堵漏洞

他稱,署方曾建議以多重認證方法堵截漏洞,其後環聯採用一次性密碼認證,以確認客戶身份。署方分別從機構網頁、中介網頁及應用程式作測試,結果發現三個方法同存有設計上的漏洞,可輕易取得個人資料。署方已開展循規審查,但受資源所限,或須數個月後才有結果。

黃繼兒稱審查料數個月後有結果。(資料圖片)

他稱即使機構已完善有關設計,但並非劃上句號,於調查後會勸喻、警告相關機構,以免再發生類似情況。至於有關報章有否違反私隱條例,他稱若新聞報道涉及大眾利益,一般可獲得豁免。