資訊保安

【跟進】網民:PayMe有漏洞?申請時發現身份證被盜用

Published by
Lawton

由滙豐銀行推出的 P2P 手機轉賬 App「Payme」,最近有網民懷疑被盜用身份證申請帳戶的事件。事主多次申請 PayMe 帳戶不果,經過多次查詢才發現原來自己的身份證號碼已經同一個 QQ 電郵連繫,事主稱極有可能身份證資料曾被人盜用以申請 PayMe 帳戶,擔心帳戶會被用作不法用途。

多次申請 Payme 失敗真正原因

Unwire 記者與事主取得聯絡,事主稱自己現在是第二代智能身份證製造商的員工,曾經在 3 個月之內申請 Payme 帳戶近 10 次,但都不得要領,App 內只顯示他上載身份證過程出錯。事主還以為是 App 的程式錯誤,及後多番致電滙豐查詢未果,最終要寫正式投訴信才得到回覆,指他的身份證原來已經被連結到一個以 QQ.com 為網域的電郵帳戶,因為重覆登記的原因,而不能再用。

▲多次申請 PayMe 帳戶不果,事主還以為是程式錯誤

事主:系統不驗証身份証真偽?

事主指出滙豐一直只需要上載身份證的圖片,即可開通帳戶,毋須核實申請者其他信用卡與儲蓄戶口,也不驗證身份證的真偽,簡直是零防衛機制。事主向 Unwire 訴苦:「如果用 Photoshop(註:改圖軟件)做相,改不同身份證號碼,就可開出無限 Account 嗎?」。

事主稱「這個漏洞仲唔係洗黑錢」擔心自己的 PayMe 帳戶會被人用作洗黑錢用途,並打算會在今日報警求助。而事主也愈說愈激動:「好大漏洞呀!仲可轉錢去不同名既戶口,仲唔係洗黑錢好渠道? 應該去問問金管局吧?」

▲事主最初向滙豐銀行查詢時,只得到「經核實後現時不能向你提供 PayMe 帳戶」的回覆

▲後來事主向滙豐銀行發出投訴信,才收到回覆,指事主的身份證資訊已連結 QQ.com 的 PayMe 帳戶

專家方保僑:會被利用作「轉錢」

香港資訊科技商會榮譽會長方保僑指出,事主目前被人盜用身份證號碼申請 PayMe 帳戶,並無連結到他的儲蓄帳戶或信用卡,除非事主跌銀包,信用卡、銀行卡都被不法份子連結該 Payme 帳戶,否則相信財物上不會有所損失,最大機會遇到的問題是 PayMe 帳戶被人用作「轉錢」用途。他指事主報警的行動是正確,可以證明帳戶的交易與自己無關。方保僑指出目前八達通自動增值、PayMe 轉賬等電子支付方式,設有每日支付金額上限,為用戶設置最後一道防線,可保障市民不會有更大損失。

問及市民是否有方法保護自己,方保僑指現時市民好難在自己的身份證被人盜用時得到通知,市民也未接受到身份證號碼連結電話號碼的做法。而就算申請帳戶時需要電話核實,不法份子亦可申報虛假資料。方保僑認為各電子支付公司應該以此個案為鑑,留意現時用圖片核實身份證的做法是否存在漏洞。

專家楊和生:避免存太多錢到電子支付帳戶

香港互聯網協會網絡保安及私隱小組召集人楊和生指出,現時每間電子支付的後台都有不同規模,私隱政策與內部監控、管理力度都有所不同,但這些資料通常不對外公開,市民只能用傳統方法保護自己:如可能的話,將每天過數的上限金額設定為一個低水平,如果有人要求你做 P2P 過數時,必須核實該人的身份,金額太大時應實際向當事人查詢。另外到真正過數時,才將金錢從銀行存入電子支付帳戶,市民應盡量保持電子支付帳戶的餘額在低水平。楊和生亦應為目前銀行接受用戶身份證的圖片數碼資料的手法存在問題,既不能核實身份證的真確性,而又向用戶收集過多個人私隱資料,電子支付供應商應研究對策。

專家陳家豪:社會應討論是否落實eID、電話實名制

智慧城市聯盟金融科技委員會主席陳家豪表示,雖然滙豐銀行有責任核實客戶之身份證明文件,但在現有技術限制之下,仍難百分百通過網絡核實用戶身份,因為就算同時提供身份證圖片與電話號碼,該電話可能也是太空卡戶口。陳家豪表示:「未必完全關滙豐事,各監管機構亦有限制,不能使用網上提供的其他資源,令他們動彈不得」,但指滙豐應有方法為現有客戶核實 PayMe 用戶身份,而不會違反私隱條例。

陳家豪指現時未有中央數據庫或合理的數據庫為市民進行數碼個人身份核實,而政府提出 eID(註:在「智慧城市藍圖」中提出在 2020 年為市民提供數碼個人身份),社會應更多討論如何落實這項措施。他指政府可為市民提供數碼個人身份,市民可利用 eID 在網上申請服務,大幅減低被人冒用身份證的機會。另一方面亦可參考其他國家地區的做法,採用電話實名制,在申請電訊服務時已核實市民個人身份,避免不法份子利用太空卡申請銀行帳戶。

專家范健文:應用大數據協助核實用戶身份

香港資訊科技商會資訊保安召集人范健文指出,現時不同電子支付系統用身份證圖片去核實客戶個人身份,這種做法有不少限制,但電子支付系統一般設有每日交易上限,例如 PayMe 就設有每月從信用卡轉賬至 PayMe 戶口的上限,這些措施可為用戶損失封頂在一個較小的數字。范健文建議政府容許金融機構使用大數據資料,從各方面驗證資料的真確性,例如今次案例中使用到的 QQ.com 電郵不常為香港人所用,滙豐能否通過大數據核實電郵供應商是否本地供應商,在出現衝突時向客戶進一步核實資料。另一方面亦可考慮是否限制免費登記的電郵信箱申請電子支付服務。

問及政府是否需要參與協助商戶核實市民身份,范健文指政府在這一步不應介入,讓市場自由發展,市民可計算風險使用合適的電子支付服務。范健文最後建議滙豐應加強同客戶的溝通平台,本案例中事主反覆利用電郵與滙豐聯絡過於繁複,此類網上服務應提供即時對話服務或客戶服務熱線,讓市民用得更安心。

HSBC:會暫停該帳戶

以下是小編向HSBC說明此事件後,HSBC方面的回應:

– 我們十分重視服務的安全性。我們已採取多項保安措施來檢測欺詐活動,以保障用戶免受財務損失。– 我們現有檢查香港身份證的措施。如果發現任何可疑情況,我們會暫停該帳戶。
– 如客戶遺失身份證或被盜,應立即與銀行聯絡。
– 如果客戶懷疑其身份證被他人盜用作登記PayMe戶口,應立即透過我們的網站與我們聯絡。我們會立即核實,並採取適當的行動。如果發現任何可疑情況,我們會暫停該帳戶。

Published by
Lawton