【本報訊】有具非接觸式支付(簡稱:拍卡支付)功能信用卡未達金管局加密要求,令客戶全名與交易資料被手機應用程式非法讀取,引起大眾對私隱外洩關注,受影響信用卡多達125萬張,金管局指,現正與相關銀行和機構密切商討,惟換卡安排料需時數月。有議員認為金管局於事件處理上有疏忽之嫌。
記者:黃珮琳 江靖然
今次資料洩漏事件,涉及由兩間供應商、7間銀行提供的125萬張信用卡,中銀香港受影響卡數最多,達67萬張,其次是近年力推COMPASS VISA信用卡的星展香港,涉卡達39萬張。兩間銀行發言人均表示現正就事件與金管局緊密溝通。
該批信用卡並不符合金管局2012年的監管規定,以導致今次私隱外洩事件,惟金管局強調,今次事件不影響拍卡支付信用卡的使用安全。
基於在某些情況下,未授權人士可透過非接觸方式讀取卡主姓名,為安全起見,金管局已即時與受影響的銀行、信用卡機構及網絡營運商商討,並責成有關銀行盡快更換受影響信用卡。該局將繼續與相關銀行和機構密切商討,作出妥善的換卡安排,盡量減低對客戶的不便,初步估計整個過程需時數月。
立法會議員莫乃光表示,金管局反應迅速,3日內已公開點名並責成7間銀行安排換卡,並公佈受影響卡數目,反映事件嚴重。他續指,金管局雖早於2012年要求銀行就信用卡做好加密工作,惟金管局監察制度有問題,未有在今次事件「浮面」前修補漏洞,認為有疏忽之嫌。
部份銀行或早知漏洞
香港消費電子聯盟主席方保僑估計,部份銀行或早已知悉漏洞,惟打算讓流通於巿面上、有問題的信用卡自然流失及更換,故未有公開事件。他狠批銀行責無旁貸,認為金管局日後有必要進行抽查。
對於不法之徒可透過應用程式,讀取有關信用卡號碼及有效日期,並用於保安程度較低網站進行網購,金管局強調情況不普遍,自2012年至今,僅收到1宗關於拍卡支付信用卡未經授權交易投訴。據《銀行營運守則》,客戶不需為未授權信用卡交易的直接損失負責。
信用卡機構需採取措施管理有關風險,包括要求商戶在接受網上信用卡付款時,需提供信用卡號碼、有效日期資料,以及要求客戶輸入卡後的保安編碼(CVC),或其他額外認證資料,否則商戶或收單銀行要承擔未經授權交易的損失。
