香港市民透過合法財務機構借貸,大部份情況下信貸機構都會向環聯 TransUnion 取得申請人的個人信貸記錄。這間擁有本港超過 500 萬人借貸資料的公司,近日被本地報章發現只要擁有目標人物身份證號碼及公開資料,再回答數條簡單問題,就能輕易取得公眾人物的信貸報告,包括其信貸評分、電話、地址、信貸賬戶號碼、逾期還款記錄等資料。
環聯信貸資料庫被發現索取信貸資料的系統存在漏洞,本港最高級官員包括特首林鄭月娥、財政司長陳茂波等人的信貸報告因而被外洩。
在身份核證過程中,需要輸入身份證號碼、姓名、出生日期、手機號碼等資料,但該報發現只要輸入正確身份證號碼,其他資料就算是虛構資料都能成功突破第一階段核實程序。次階段核實程序雖然要回答 3 條「五選一」選擇題,但有關問題的核實過程並不嚴謹,通過核實再繳付港幣 280 元費用後,就取得他人的詳細信貸報告。
私隱專員公署稱已接獲環聯資料外泄事故通報,該署與金管局均表示關注事件,並已展開調查,要求環聯即時提升保安措施。
據報私隱專員公署測試後,發現身份核實程序設計上有保安風險。他們呼籲相關機構即時停止索取報告的程序,並盡快堵塞該漏洞。金管局方面亦已透過銀行公會要求環聯全面調查事件,改善驗證的程序。據報環聯網站已新加入手機一次性密碼驗證措施。
特首辦今日下午就事件發表聲明,指林鄭月娥已收到環聯來信,表示該公司已採取補救措施加強信貸資料保護。特首辦指他們已知悉金管局已透過香港銀行公會要求環聯調查事件,並指環聯持有大量市民個人資料,有責任採取有效保安措施,指如系統出現漏洞,環聯必須盡快作出補救,以保障市民權益。