電子扒手

電子扒手

(刋於 AM730 - 2015年10月20日)
http://www.am730.com.hk/column-285968

上星期因為Now TV《新聞極客》率先披露了一些NFC非接觸式信用卡的漏洞，導致人心惶惶，其實所謂何事呢？首先要從信用卡的歷史說起，早期的信用卡，卡主姓名、信用卡號碼及信用卡有效日期都印在卡上，然後這些資料以沒有加密的模式存放在信用卡背面的磁帶上；在NFC信用卡推出的初期，也只是用將這些資料直接存放在NFC晶片上，純粹希望將平常刷卡的動作變成「嘟卡」，成為較快速的付款模式，與八達通等非接觸式付費卡爭一日之長短。
但早在2012年，在多國已經發現有不法分子利用一些NFC裝置，隔空盜取NFC信用卡上的資料，然後到網上購物甚至借貸，外地稱之為Electronic Pickpocket(電子扒手)。香港金管局在當年已經向各發卡銀行發出內部通告，要將NFC信用卡上的敏感資料(包括姓名)刪去，但可惜仍然有銀行因為種種原因，拖到現在還沒有解決問題，市面上仍然有125萬張有問題信用卡流通，需要強制回收及更換。
其實今次事件，NFC卡本身並非罪魁禍首，反而是早期的系統設計，低估了原來幾年後會有大量NFC智能手機流通市面，至於該NFC手機程式其實亦非萬惡之源，一般開發NFC系統也會應用到類似程式。至於為何卡上的資料沒有加密？這套系統其實是世界通行，要加密就要全球重新做過，不過其實只要將NFC卡上的姓名刪去，匪徒隔空盜取資料時只剩下卡號及有效日期，便得物無所用。今次事件，七間銀行的疏忽絕對是責無旁貸，金管局也應該對相關指引加強巡查，別再重蹈覆轍。