据澳广ABC报道,一名推特用户丹尼尔·罗斯(Daniel Rose)发现,贷款机构Cash Converters要求领取Centrelink福利的申请人提供个人的myGov信息,而这是贷款在线审批流程的一部分。Cash Converters的发言人说,该公司是通过澳洲金融技术公司Proviso提供的平台,来从myGov获取申请人的税收、健康状况等信息。
Source: Twitter
Proviso的首席执行官卢克·豪斯(Luke Howes)表示,他们可以提供Centrelink账户90天内的交易和支付记录的网页快照,以及PDF格式的Centrelink损益表。
一些myGov用户设置了双重登录密码,这意味着他们除了输入正常的密码外,还要输入一个发送到他们手机的代码才能登录。但是Proviso的系统会让用户在他们的系统中输入这串代码。
虽然将贷款申请人的福利收益纳入贷款审核流程中是合法的,但并不一定需要在网上操作。
如何保证数据安全?
民政部的一位发言人提醒说,用户不应该与任何人分享他们的myGov信息。
她说:“任何已经提供了myGov用户名和密码给第三方的人如果对此有顾虑,应该立即更改密码。”
IT咨询公司PivotNine的首席分析师兼董事总经理贾斯汀•沃伦(Justin Warren)也表示,向任何第三方透露myGov的登录信息都是不安全的。
特别值得注意的是,myGov会包含个人的健康记录、育儿补贴以及其他一些非常隐私和敏感的信息。
堪培拉大学互联网安全中心负责人奈杰尔(Nigel Phair)指出信息泄露不容忽视,尤其是2017年评分机构Equifax的数据泄露事件对超过1.45亿人造成影响。
他认为,公司将某些职能外包是好的,但是不能将风险也外包出去。
Cash Converters不仅要求申请人提供myGov详细信息,还要求提交他们的网上银行登录信息。
而且,虽然Cash Converters在其条款和条件中规定,申请人的账户和个人信息只会被使用一次,然后会尽快销毁。但实际上,一些后续的数据更新可能会持续90天左右。