揭資料庫保安漏洞 《明報》兩發聲明

部分商業機構存有不少公眾個人資料,令人關注私穩保安問題。《明報》於2018年11月29日頭版,刊登題為「環聯漏洞 林鄭信貸資料任睇」的偵查報道,指出載有逾500萬人借貸資料的環聯資訊(TransUnion),存在嚴重保安漏洞。對此,私隱專員公署及金管局均表示關注,其中金管局透過銀行公會要求環聯立即全面調查事件,以及盡早提升認證程序。

鑑於載有大量借貸資料的環聯資訊,近年積極開拓個人索閱信貸報告市場,《明報》遂測試其資料保安程度。這篇偵查報道奪得香港報業公會2018年度「最佳獨家新聞」獎季軍。

報道指從環聯官方網站索取信貸報告,須先開設帳戶並同時接受身分核證,共有兩個步驟。首先是輸入身分證號碼、姓名、出生日期及手機號碼等個人資料。不過,《明報》測試發現,除了身分證號碼,其餘資料即使虛構亦能順利進入下一步驟。記者從公司註冊資料取得本港最高級官員特首林鄭月娥及管理財金事務的財政司長陳茂波等人的身分證號碼及公開資料,結果通過了首階段核證。次階段核證則要回答3條「五選一」選擇題,記者每次答「以上答案皆不適用」都能過關。事實上,記者一次測試已通過核證,經網站付款280元後,便取得林鄭月娥的詳細信貸報告,內容包括其信貸紀錄、過往及現時所有地址及電話等高度敏感資料。

《明報》的測試報道,由於涉及私穩,於是在文中發出編輯部聲明:「《明報》在採訪過程中發現環聯信貸資料庫有保安漏洞,深入採訪時蒐集了一些個人資料,作確認和支持報道之用。明報強調,在偵查過程中只是以人力重複嘗試的手法進入系統,測試漏洞,並非以欺詐手法獲取資料,亦不涉及濫用。過程中取得的個人資料,只作報道之用,報道完成後,已於今日(2018年11月29日)凌晨2時將相關個人資料全部銷毁。」

2019年1月7日,環聯資訊香港區行政總裁王芳出席立法會財經事務委員會會議時,首次公開致歉,並稱已採取了額外的保安措施,在解決安全問題前不會恢復網上服務,又聘任獨立第三方機構審查保安情况,但對於傳媒獲取官員的信貸報告表示「非常遺憾」。另警方提交的文件稱,環聯於2018年11月29日報警,警方正調查事件,並會特別留意因事件導致實際損失的個案。

《明報》就此於翌日的報道中發出另一篇編輯部聲明:「對於環聯資訊有限公司涉嫌疏忽保護個人資料,環聯昨日在立法會財經事務委員會會議上,反而指摘傳媒入侵環聯系統,《明報》編輯部表示遺憾。《明報》重申,在採訪過程中發現環聯信貸資料庫有保安漏洞,深入採訪時蒐集了一些個人資料,作確認和支持報道之用。《明報》強調,在偵查過程中只是以人力重複嘗試的手法進入系統,測試漏洞,並非以欺詐手法獲取資料,亦不涉及濫用。過程中取得的個人資料,只作報道之用,報道完成後,已將相關個人資料全部銷毁。」

Scroll to Top