據澳廣ABC報道,一名推特用戶丹尼爾·羅斯(Daniel Rose)髮現,貸款機構Cash Converters要求領取Centrelink福利的申請人提供個人的myGov信息,而這是貸款在線審批流程的一部分。
Cash Converters的髮言人說,該公司是通過澳洲金融技術公司Proviso提供的平台,來從myGov穫取申請人的稅收、健康狀況等信息。
Source: Twitter
Proviso的首席執行官盧克·豪斯(Luke Howes)表示,他們可以提供Centrelink賬戶90天內的交易和支付記錄的網頁快照,以及PDF格式的Centrelink損益表。
一些myGov用戶設置了雙重登錄密碼,這意味著他們除了輸入正常的密碼外,還要輸入一個髮送到他們手機的代碼才能登錄。但是Proviso的系統會讓用戶在他們的系統中輸入這串代碼。
雖然將貸款申請人的福利收益納入貸款審核流程中是合法的,但併不一定需要在網上操作。
如何保證數據安全?
民政部的一位髮言人提醒說,用戶不應該與任何人分享他們的myGov信息。
她說:“任何已經提供了myGov用戶名和密碼給第三方的人如果對此有顧慮,應該立即更改密碼。”
IT諮詢公司PivotNine的首席分析師兼董事總經理賈斯汀•沃倫(Justin Warren)也表示,向任何第三方透露myGov的登錄信息都是不安全的。
特彆值得注意的是,myGov會包含個人的健康記錄、育兒補貼以及其他一些非常隱私和敏感的信息。
堪培拉大學互聯網安全中心負責人奈傑爾(Nigel Phair)指出信息泄露不容忽視,尤其是2017年評分機構Equifax的數據泄露事件對超過1.45億人造成影響。
他認為,公司將某些職能外包是好的,但是不能將風險也外包出去。
Cash Converters不僅要求申請人提供myGov詳細信息,還要求提交他們的網上銀行登錄信息。
而且,雖然Cash Converters在其條款和條件中規定,申請人的賬戶和個人信息只會被使用一次,然後會儘快銷燬。但實際上,一些後續的數據更新可能會持續90天左右。
