內地居住證一「嘟」資料任睇 逾十萬港澳台居民陷私隱危機

撰文:梁祖饒
出版:更新:

首次引入RFID技術的新智能身份證將於12月開始接受換領,但非接觸式的RFID技術常被質疑洩露個人私隱。
《香港01》發現有讀卡器隔空六厘米,仍可讀取同採用RFID技術的港澳台居民內地居住證資料,該讀卡器更自動儲存居住證卡面及卡底資料,並可即時列印。至少逾八萬名已經申領證件的港澳居民及數萬名台灣居民,陷私隱危機,個人資料隨時曝光。
香港資訊科技商會榮譽會長方保僑表示,內地居住證包含個人資料及住址,騙徒容易追查及追蹤卡主,上門進行詐騙等不法行為。方指若香港新智能身份證加密鑰匙不慎對外洩露,同樣有風險被不法份子盜用。不過保安局發言人曾稱,新身份證技術及鑰匙等絕對保密。

今年9月推出予港澳台居民申請的內地居住證,可被內地購入的讀卡器獲取卡上資料,現時至少有逾八萬名持內地居住證的港澳居民陷私隱危機。(譚威權攝)

新身份證及港澳台內地居住證均採用無線射頻識別(RFID)技術,即透過獨有頻率的無線電波,在沒有物理接觸下,仍可隔空與讀卡器傳遞卡中資料的技術。

新智能身份證更是首次引入RFID技術,為全港市民更換更高效及提升防偽特徵的身份證明文件,並在12月開始全民換證。但是,RFID技術卻因便利惹來保安質疑,擔憂新身份證被不法之徒輕易獲取。

今年9月推出予港澳台居民申請的內地居住證,可被內地購入的讀卡器獲取卡上資料,現時至少有逾八萬名持內地居住證的港澳居民陷私隱危機。(譚威權攝)

7萬持證人為港人

《香港01》發現同樣採用RFID技術,在今年9月1日才推出予港澳台居民申請的內地居住證,可被內地購入的讀卡器獲取卡上資料,截至10月24日,至少有逾八萬名申領內地居住證的港澳居民陷私隱危機,當中七萬名持證人士更為港人;而台灣國安局長亦估計,到10月底有約七至八萬名台灣人申領內地居住證。

記者早前在深圳華強北一間店舖,以數百元購入內地身份證讀卡器,該讀卡器原只作讀取同樣採用RFID技術的內地身份證,記者邀請擁有港澳台內地居住證的港人張敏銳(Jerry)作測試,發現讀卡器起初只能讀取Jerry的姓名,其他資料卻未能成功讀取。

縱使Jerry的內地居住證已從讀卡器移走,電腦仍留有內地居住證資料。(蕭文學攝)

5分鐘取升級軟件 居住證一「嘟」自動儲存

其後,記者向讀卡器生產商索取可讀取港澳台居住證的升級軟件,職員只要求提供機身編號,並着記者簡單回答公司名稱及讀卡器所作用途,不消五分鐘便可從電郵取得升級軟件。

「係好驚訝,亦都真係好危險,卡上的資料好似複印出嚟咁!」獲得升級軟件後,Jerry手上的內地居住證只需要在讀卡器上輕輕一掃,當讀卡器發出「嘟」一聲,卡上正反兩面的資料便可於電腦上查閱,電腦更會自動儲存獲取的資訊,而儲存的資訊仿如以掃瞄器正規讀取資料,如有不法之徒利用讀卡器犯案,外界不會察覺被盜資訊從讀卡器獲取;而讀卡器更可把卡上證件相片獨立儲存成另一個圖檔,證件照片或被可作其他不法用途,更可把整份居住證資料及證件照片列印。

隔空6厘米 放入銀包仍可盜取

記者其後更作多項測試,發現該部讀卡器最遠可隔空六厘米讀取內地居住證卡上的資料,包括姓名、地址、回鄉證號碼及相片等資料。即使擺放內地居住證於銀包內,或夾着多張卡片,讀卡器仍可讀取居住證上資料。

電子卡互相干擾 露卡邊仍可讀取

記者其後再夾雜有RFID技術的信用卡作嘗試,發現多張RFID卡互相干擾,未能成功讀取;但如果內地居住證並非與其他RFID卡整齊疊起,並露出約三至四毫米的卡邊,讀卡器仍能成功讀取資料,十分靈敏。

內地居住證卡上的資料,包括姓名、地址、回鄉證號碼及相片等資料均可讀取,更可整份列印。(洪業銘攝)

Jerry:帶證出街可免則免

長居中山的Jerry直言沒預料讀卡器可輕易取得居住證資訊,並感到十分驚訝。他認識並現居於中山的港人均已申請內地居住證,會提醒他們格外小心。但他指現時內地居住證不能於銀行申請貸款及信用卡,而其存款儲蓄大多擺放於香港銀行,故相信縱使資料外洩亦未對自身造成太大影響,但他指攜帶內地居住證外出仍是可免則免。

坊間現時不乏網上購物網站可購入讀卡器,價錢由數百元至幾千元不等,當中更有免提款式,不用連接電腦便可讀取卡上資料。現時有NFC功能的智能手機安裝部分應用程式後,更可讀取信用卡等資料,證明RFID技術並非十分安全,故讀卡器恐成不法之徒作獲取資訊的手段。

入境處2014年宣布,香港將更換新一代智能身份證,到今年年底正式開始。新身份證使用RFID非接觸式技術,安全備受質疑,而保安局亦多次指出,坊間讀卡器須配合入境處自行產生的的證書授權及特定運算程式,才能讀取晶片內的資料,並表示上述程式及證書授權絕對保密。

現時有NFC功能的智能手機安裝部分應用程式後,更可讀取信用卡等資料。(蕭文學攝)

居住證含地址 易被追蹤詐騙

香港資訊科技商會榮譽會長方保僑表示,RFID技術一般會加設加密鑰匙,惟一旦不慎對外洩露,同樣未能保障持卡人的個人私隱。方更指RFID技術設計目的是為方便寫入資訊,不排除部分RFID技術的資訊未有進行加密。

故此,方指內地居住證及新智能身份證同樣有風險被他人獲取,身份證及居住證辦理機構不應擺放太多不必要資訊,以防他人獲取持卡人資訊,並可追蹤持卡人的去向。

方指內地居住證便包含個人資料及住址,變相騙徒容易追查及追蹤卡主,上門進行詐騙等不法行為。方更表示雖然新身份證並沒有寫上住址,但新身份證同樣有風險被不法份子取得並盜用。

方保僑指內地居住證及新智能身份證同樣有風險被他人獲取,身份證及居住證辦理機構不應擺放太多不必要資訊,以防他人獲取持卡人資訊,並可追蹤持卡人的去向。(資料圖片/潘安奇攝)

前線科技人員議政小組成員賀穎傑坦言,擺放於身份證及信用卡等加密技術永遠未能保證安全。他解釋因科技日新月異,縱使新身份證未能即時破解,但新身份證動輒使用年期至少為數年,甚或十年以上,市民加以提防更為重要,更建議擔憂的市民購入防RFID讀取的銀包,或選擇以錫紙包裹含RFID技術的卡類。