【電子錢包】電子錢包漏洞　源於eDDA?

由香港金管局推出的快速支付系統「轉數快」（Faster Payment System；FPS），支援即時電子直接付款授權服務（eDDA）服務，運行約一個月就爆出漏洞。有用戶的銀行戶口款項經eDDA被盜取，金管局於昨晚（24日）緊急要求儲值支付工具營運商暫停其電子錢包內的eDDA 服務。到底eDDA是甚麼？電子錢包又是否安全？

問：eDDA前身是DDA?

答：要知道甚麼是eDDA前，可先由了解直接付款授權DDA（Direct Debit Authorization）開始。DDA常用於自動轉帳的繳費服務，申請人一般需要到銀行櫃位申請，經填寫表格、簽名及核實身份證後授權銀行作出自動轉帳安排。申請時間一般需要1至2個工作天不等。

而銀行電子化後，就令DDA前加了個e，演變成 eDDA。

問：eDDA是甚麼？

答：電子直接付款授權服務eDDA（Electronic Direct Debit Authorisation），是經由網絡授權銀行提供直接付款服務，申請後會即時生效。一般電子錢包的自動增值、過數及購物扣帳都是在eDDA授權完成後方會運作，轉數快、支付寶、WeChat pay、Tap & Go及O!e pay都有使用到eDDA。

問：電子錢包如何用到eDDA？

答：以Wechat pay以例，要進行增值時就要先綁定銀行戶口，用戶要先登入網上銀行進行eDDA的網上授權，當中包括設定每日限額。授權後，用戶就可以在Wechat pay上用銀行戶口為電子錢包增值及付款。

問：今次事件有甚麼影響?

答：現時，金管局已全面要求電子錢包供應商暫停eDDA服務，相信當局需要時間檢討問題的源頭。而個人對個人（P2P）轉帳則暫無影響。

問：eDDA 還安全嗎？

答：今次事件，騙徒在取得用戶的身份證明文件及銀行戶口資料後，就能夠申請eDDA用電子錢包增值。若銀行能夠即時與相關客戶作認證，或可避免騙案發生。

問：使用eDDA時可以如何保障自己？

答：有不少網民希望金管局及銀行提供雙重認證的服務，即透過短訊或Email傳送一次性密碼（One Time password）核實用家身份。現時，部份電子錢包已暫停eDDA服務，用家可繼續跟進事件的發展，再考慮是否選用。

若有使用電子錢包，就應該養成每日檢查銀行戶口的習慣，一旦遇上不名來歷的轉帳數目，就要即時與銀行聯絡，考慮停用服務。