转数快的eDDA服务早前被不法分子利用骗钱。(资料图片)
快速支付系统“转数快”的eDDA “即时电子直接扣账授权”服务,早前被不法分子利用其漏洞,绑定“无实名制”的电子钱包并骗去金钱,其后金管局出手,叫停所有eDDA服务,要求电子钱包绑定所有银行户口之前,都必须利用一次性的密码认证,以确保银行户口的持有人知道户口被绑定在电子钱包上,风波才得以暂时平息。
惟截至截稿前,转数快的eDDA仍然未能重新投入服务。
不过“一波未平,一波又起”,上星期有传媒报道指出,有不法分子利用一些盗取得来的信用卡资料,绑定在“无实名制”的电子钱包上,由于有部分信用卡没有发出短讯作两步验证,信用卡持有人便无法得知其信用卡被绑定在别人的电子钱包上,因而被骗去金钱。虽然这次事故并不是“转数快”平台,但是问题却是殊途同归。
不论是电子钱包与银行,或者是电子钱包与信用卡公司,如果两间公司均是独立运作,他们固然不会知道对方的客户是谁,更遑论知道其电话号码。有些银行或者信用卡公司,若在绑定电子钱包验证时比较严谨,就会做双重认证,但有些完全依赖电子钱包一方做KYC(认识你的客户)的步骤,因而制造出漏洞,让不法分子有机可乘,所以金管局再次出手,明确表示电子钱包必须在信用卡发卡机构利用一次性密码(OTP)或者其他有效方法,确认卡主授权之后,才可以绑定信用卡。
希望经过今次事件,可以进一步修补“转数快”和电子钱包的漏洞,以及优化整个过程。今次事件可谓化危为机,当局亦应汲取是次经验,日后不单止要扮演监管角色,更应进一步促进业界不同板块的沟通,令香港的金融科技继续发扬光大。