專家指積金易使用第三方電子身份驗證技術存在明顯漏洞 建議業界停用
發佈日期: 2025-12-19 18:30
港澳
警方瓦解一個利用偽造身份證在「積金易」平台開戶,盜取強積金(MPF)的犯罪集團。有資訊科技專家指,積金易平台使用第三方電子身份驗證技術,存在明顯漏洞,建議業界停用。有立法會議員就批評營運商需承擔責任。
積金局去年6月推出電子平台「積金易」,提供一站式管理強積金。截至10月,十名受託人管理的17個強積金戶口已加入平台,佔總資產四成三。
根據積金易網站介紹,市民登記積金易平台,可透過「智方便」,或利用EKYC、即透過身份證,以電子驗證方式登記。網站會要求拍攝身份證,核對容貌。另一間網上銀行亦採用同樣步驟。
但本港近期發生多宗盜用身份證開戶案件,包括10月有騙徒用報失身份證,在銀行開戶借貸,及清洗1.9億元犯罪得益。
有資訊科技專家指,積金易平台使用第三方EKYC平台,連串事件證明這類系統存在明顯漏洞。
積金易平台專家小組成員方保僑表示︰「EKYC方法已無法識別現時智能身份證上的防偽特徵,或是未完全認到、或認得不夠好。商業機構包括銀行、積金易平台,也沒有市民樣貌的資料,商業機構無法辨認究竟相片與資料是否同一人。可能平台真的要盡快去想,轉用『智方便』平台做認證。」
另外,積金易平台由電訊盈科企業方案營運,「造價」近50億元,推出一年多以來,政府接獲逾2,300多宗投訴。有立法會議員指,即使「積金易」因使用第三方EKYC平台,導致市民款項被盜,但仍難逃責任。
選舉委員會界別議員吳傑莊指出︰「牽涉全部僱主及打工仔,肯定非常複雜,積金易投放的資源,在系統測試是否絕對足夠?包括這類第三方的軟件可能出現的漏洞,有否試到出來?這與整個系統的投入、部署是否足夠有關。」
他又指,若積金局發現今次事件承辦商違反服務合約,應追究相關責任。
警方瓦解盜取強積金犯罪集團涉款180萬元 積金易停用電子身份驗證註冊
