有人利用漏洞，取得特首林郑月娥的信贷资料。

(星岛日报报道)载有全港五百四十万个市民信贷记录的环联资讯存在严重保安漏洞，环联资讯近年积极与第三方平台合作，向市民提供免费查阅信贷报告服务，任何人只要输入他人的身分证号码及简单个人资料，以及回答几条简单的选择题，便可轻易查阅他人的信贷报告。

据悉，有人利用漏洞取得特首林郑月娥的信贷资料，特首办公室亦知悉此事。金管局方面大为紧张，近日向银行查询有否提供类似服务，并要求迅速回覆；私隐专员公署则成立小组跟进。

银行界人士向本报记者表示，有第三者成功透过环联（TransUnion）与第三方平台合作所推的「免费查阅信贷款服务」，成功取得特首林郑月娥的信贷报告，显示该服务的认证程序存在严重保安漏洞。

用家透过该服务可轻易查阅他人的信贷资料，只须输入简单个人资料，以及回答几条身分认证的简单选择题便可，而问题深浅主要视乎当事人风险程度的高低，以林郑月娥而言，因属低风险人士，回答的认证问题亦相对简单，所以很易撞中答案，假若三次都无法答对所有问题，就被上锁，不得再试，但有心人可再试用其他第三方平台。

对于林郑的信贷资料也被人取阅，金管局及私人专员公署高度关注事件。银行人士透露，金管局近日就有第三方服务提供者声称可让市民免费向环联查阅个人信贷报告，向银行查询有否提供类似服务？如有，与什么第三方合作？以什么形式提供？并要求银行迅速回覆。

私隐专员公署昨夜则发新闻稿指，私隐专员黄继儿已联络环联并就事件展开循规审查，以查找事实和协助环联即时采取有关的补救措施，以减低可能造成的损失。

公署得悉环联表示已经即时提升保安措施，包括冻结有关帐户并通知受影响人士及提供一次性密码认证（OTP）。公署呼吁环联及有关信贷或中介机构即时停止有问题的索取信贷报告程序，堵塞怀疑的保安漏洞，提升并加强有关身分核实的步骤，例如采用多重身分核实方式、提升身分核实问题的难度等，同时若发现有更多受影响人士，应尽快通知。

公署亦曾进行相关初步测试，初步发现确有数项保安风险（详情见表）。

金管局表示，得悉事件后，立刻与银行和环联进行沟通和了解情况，并获告知有人透过环联及部分信贷或中介机构的网上平台，经多次测试，不当地取得第三者的个人信贷报告。由于事件可能涉及银行向环联提供的个人信贷资料的安全性，金管局对此表示关注，并已透过银行公会要求环联立即全面调查事件，以及尽早提升认证程序。在

未完成相关工作前，银公要求环联提升的保安措施，包括网上查阅信贷报告须作一次性密码认证，或暂停透过信贷或中介机构网上平台的个人信贷报告查阅服务，以保障银行客户的个人信贷资料。金管局会配合私隐专员公署的跟进工作。

环联表示，初步调查显示，被有关人士获取了极少数香港消费者的个人信贷报告，而这些信贷报告在违反香港法律的情况下被取阅。环联已经联系了执法机关，以进一步调查此事。公司表示，根据目前的调查结果，已经迅速采取行动，提升反欺诈的管制措施以应对此等情况，并将持续进行调查。

有业界人士直指，环联为本港唯一、独大的信贷资料库，近年与多个不同的第三方平台合作提供免费查阅信贷报告，实情是环联向CreditGo、MoneySQ等第三方平台出售其所谓信贷报告方案服务图利，。

市民在同意第三方平台的条款下便可免费查阅自己的信贷报告，毋须缴付二百八十元的查阅费，其实第三方是可分享到市民所查阅的信贷资料，日后将作为销售推广用途，业界认为这存一个灰色地带，或涉及道德问题。