豪言壯語

【豪言壯語】其實唔關「轉數快」事

文章日期:2018年10月26日

有市民被誤導洩露個人資料後,疑被轉走銀行帳戶內的資金,全港媒體大字標題寫「轉數快出事」、「轉數快有漏洞」,卻極少能夠正確指出,問題不是出在「轉數快」的身上,而是個別電子錢包沒有做好認證。「反科技」人士高呼贏了一仗,但這真的是我們對待問題的應有態度嗎?

為何媒體都沒有認清事實真相?關鍵在於最初披露這些個案的《蘋果日報》。周三晚該報即時新聞,直指「轉數快」出現陷阱,文中列出的兩個個案,卻完全與「轉數快」無關,記者只是直接引述受害人對「轉數快」的質疑,沒有做足查證功夫便讓報道出街,以致公眾都以為是「轉數快」的問題。

更可悲的是,不少人因此得出結論,認為科技遲早出事,「唔用就無事」。以此邏輯,難道ATM有轉錯錢的個案,就要唔用ATM嗎?難道銀行有被駭客入侵的個案,就不把錢放在銀行嗎?我們應該保持對高科技的質疑態度,但不應該未搞清楚事實就妄下先入為主的判斷。

還原事件,究竟問題源頭在哪裡?近年興起的電子錢包,最初是透過綁定信用卡,讓用戶把錢增值到錢包內。直至去年底,Wechat Pay推出一項新功能,叫做「直接扣帳授權」(Direct Debit Authorization;簡稱DDA),讓錢包直接連結銀行帳戶,直接從帳戶扣錢。而用戶只要填上銀行帳戶資料,包括帳戶號碼及姓名,便能綁定銀行戶口。而事實上,在Wechat Pay推出DDA功能前,本地電子錢包TNG亦早已有這項功能。可以說,這個漏洞從「轉數快」未推出前就已經存在。

唯一與「轉數快」有關係的是,過去透過DDA增值,資金要兩個工作天才轉入電子錢包內。但「轉數快」推出後,背後的系統大有改進,變成實時及7X24全天候運作,更多的電子錢包推出DDA服務,並在「轉數快」系統支持下變成實時到帳。所以業界為這項服務設定一個更先進的名稱︰「電子」直接扣帳授權(eDDA)。

而其實有沒有「轉數快」,DDA功能早已存在漏洞。問題的關鍵不在於「轉數快」系統,而是電子錢包沒有做足認證,用戶只輸入銀行帳戶號碼便能綁定及轉錢,電子錢包營運商如何確定這些銀行帳戶是屬於用戶本人的?而在今次出事後,銀行一味把責任推卸予電子錢包營運商,但一直以來,他們只是根據電子錢包發出的申請,就設定DDA指令,自己不作驗證,這個步驟又是否過份兒戲?

媒體的工作,是查找事實真相,敦促公私營機構作出改進。但在這次事件中,卻沒有發揮應有作用,反而單從受害人的片面之詞,認定是「轉數快」出現問題,導致公眾人心惶惶。

「轉數快」系統本身有嚴密設防,用戶要登入網上銀行才能發出轉帳指令,若單日轉帳超過一萬元,更要作雙重認證。就算求職者如何不慎,估計也不會把自己網上銀行的密碼外洩。

而作為監管機構,金管局亦沒有做好披露工作。自10月10日接獲首宗投訴後,直至10月24日有媒體揭發後才披露,事隔足足兩周。如果早一點披露,公眾也可有所防備。從控制輿論的角度而言,金管局確是一流;但從風險管理的角度,並不及格。

文濤

相關新聞