http://www.cw.com.tw/article/article.action?id=5072515
作者:卢沛桦 2015-11-18 Web Only
两款手机APP只要靠近感应式信用卡,就能读取信用卡个资。
这件事情最近在香港引起恐慌,民众群起土法炼钢,用锡箔纸包住信用卡。
香港记者实测,任何人都可以下载这两款APP,而且确实5秒之内就可以读取信用卡个资。
当无现金交易的世界正成为多国政府与各家银行追求的目标,
随身包包里的信用卡个资外泄风险也在急遽升高。
最近香港民众正陷入长考:到底要将皮包里的感应式信用卡弃置不用,
还是土法炼钢般拿锡箔纸包裹信用卡,以防止重要个资外泄;
甚至有人建议银行干脆取消感应式付款的功能。
香港人的这股恐慌,起因于上个月中旬,香港部分银行向持卡人发出提醒,
部分手机App靠近感应式信用卡,会读取持卡人姓名、卡号、有效日,
甚至是交易纪录等资料。
香港资讯科技商会荣誉会长方保侨向大众示警,这类Apps若被不法分子使用,
可将盗取的信用卡资料,在一些资安保障较低的网站购物,然后转售套现。
包括HKTVmall、日本乐天、Amazon及美心西饼等网站,只要有持卡人姓名、卡号
及有效日期,就能购物,不需要输入验证码。
而会读取信用卡个资的两款手机App,是“Banking Card Reader”、“Cardtest”。
目前这两款App仅在Android手机商店提供下载,任何人都能下载使用。
香港记者实测发现,打开这两款App,不到五秒,就能轻易读取信用卡内的个资。
并不是所有信用卡都在这波资料外泄疑云名单之中,主要是内建NFC(近距离无线通讯)
功能的感应式信用卡,如MasterCard的PayPass、VISA的PayWave等。
经香港金管局调查,一共有七家发卡银行的信用卡未符合金管局的安全要求,
包括持卡人姓名与交易纪录可被非法读取。金管局已下令涉事银行回收信用卡。
七家银行包括中银香港、交银香港、中信银行(国际)、工银亚洲、永隆银行、星展(香
港)及大新银行,其中有五家为香港中资银行。
VISA国际发卡组织台湾区总经理麻少华指出,此次争端主要是持卡人姓名外泄。
他说,香港政府在2012年规定,感应式信用卡线圈不可放入持卡人姓名,
避免遭有心人士读取、盗用。他说,VISA一年前已强制规定银行不可以放入姓名,
目前市面上流通含有姓名的是较早发行的旧卡。
业界人士则透露,一般银行制卡要遵守国际发卡组织的规定,
但制卡厂未必完全埋单或有疏失。
讽刺的是,让香港人心惶惶的读卡App,却一副置身事外的姿态。
读卡App“Cardtest”在开发说明中这么写着:“我出于好奇设计了这款demo app,
为的是了解内建NFC的信用卡会提供多大程度的资料给一个随机的读卡App。
结果显示,感应式信用卡被读取的资料就跟你看到的信用卡正面一样多。”
另一款“Banking Card Reader”则强调自己不能用于支付。
这起风波暂时还不会落幕。
中银直到这个中旬,才要为所有受影响的信用卡户更换不具备感应式功能的信用卡;
明年1月,才能提供新版感应式信用卡。香港网站已出现不少教民众自保的手段,
例如拿锡箔纸包覆信用卡片。
数位金融革命,意外让锡箔纸业因祸得福。