刑事警察局犯罪預防科指出,Yahoo奇摩與PChome兩個網購平台,每周至少外洩百筆個資。
刑事警察局犯罪預防科警務正常金蘭今(18)日指出,165反詐騙諮詢專線自今(09)年1月到9月,總共接獲了2萬5千146件詐騙投訴電話,排名第一的是購資外洩詐騙事件,件數達8千865件,占總數的35%,未收到網購產品的詐騙事件則名列第二,件數為8千476件。她並指出上述兩資料突顯出當前的網路資料外洩事件極為嚴重,尤其在網路購物這一塊更是如此。
「在所有的網購業者當中,以Yahoo奇摩與PChome的資料外洩問題最嚴重,平均每周都會收到至少各100位民眾投訴其的資料在上述兩個平台遭外洩、或者是被詐騙等電話。」她指出。
警方建議業者強化監控機制,並且主動告知可能遭詐騙的用戶。常金蘭指出,伴隨網路攻擊手法推陳出新,業者不能再只是透過報警這種被動方式處理購物個資外洩事件;相反的,應透過訪視有經驗的業者、了解其如何監控網站資安漏洞,以及確保購物個資不會在物流、供貨或超商等環節遭竊取。
「建議網購業者配合警方調查,鎖定漏洞發生時間、並且主動撥打電話通知那些高風險客戶群,除此之外,業者有沒有在網站的明顯頁面放上訊息完整的警示標語也很重要。」常金蘭建議道。
警方將推出網路反詐騙聯防平台。由於網路購物詐騙事件成長速度極快,如165專線在今(09)年1至2月收到的網拍詐騙報案件數(935件)比去年同期(98件)成長10倍,國家通訊傳播委員會(NCC)將協同警政署建立通報應變機制,以避免業者錯失緊急預防用戶遭詐騙的先機。第一步是在今(09)年底、明(10)年初推出整合警察、電信、金融與網購業者情資的網路反詐騙聯防平台。
常金蘭指出,網購與電視購物業者可透過該平台比對手機號碼、信用卡與身分證字號等資料等方式,找出位居高風險被詐騙區域的用戶,並且主動通知其該事,以及在網站或電視頻道上秀出明顯的警語。
「除了上述方式外,我們也呼籲網購平台業者透過杜絕買方與賣方私下交易、避免賣家或買家的帳號密碼遭竊事件發生,以及要求賣家(或商城)指定匯款帳號等方式,降低買方被詐騙。」她說。
根據警方釋出的今(09)年1到8月的網路犯罪事件報告書,有51%的受害者是遭到網路詐騙,15.28%的受害者是被盜用帳號密碼(妨害電腦使用)。
PChome表示將加強資安防護機制。PChome公關部副理楊璿表示,PChome自從在上(10)月開始接到用戶表示資料有遭外洩的電話後,便開始積極強化個人與店家(廠商)端的帳號密碼防護能力,以及強化PChome平台的資料傳輸保護能力。她進一步解釋道,在強化帳號密碼防護這塊,PChome已經強制要求所有配合的店家(廠商)都必須重設密碼才能登入後端平台。
「至於在個人端方面,未來不排除強制要求使用者設立第二道密碼、或者是重設密碼的可能。」她指出。
ZDNet Taiwan – 警方:Yahoo奇摩與PChome成個資外洩幫兇
PChome表示線上購物等內部系統並沒有遭受駭客入侵的跡象、內部人員也沒有外洩客戶的個人資料。
自本(10)月16號開始,有不少PChome線上購物與商店街的買家於Mobile01等社群網站討論個資可能遭受PChome外洩,證據是不少網友都在最近一星期內接到自稱是PChome服務專員的詐騙電話。
面對該質疑,PChome公關經理楊璿表示,該公司在上週接到相關客訴電話後便檢查過線上購物系統,並沒有發現任何遭駭客入侵,或者是內部員工存取客戶資料的跡象。至於在商店街方面,由於牽涉到與賣家系統連結等問題,因此,已要求商店街賣家必須在自家網站加密,且提供買家第二組密碼認證的方式,防堵客戶資料外洩。
「PChome除有很嚴謹的IP控管機制在,且員工也沒辦法從系統裡面看到客戶的完整資料,因此不可能是由PChome這邊外洩客戶資料。」她說。
PChome宣稱詐騙集團可能是由其他管道取得該網站的客戶資料。楊璿表示,由於多數的網友都習慣以同一組帳號密碼註冊資料,且很容易在各種終端裝置上留下個人資料,因此,PChome認為引發該次事件的原因極可能是駭客或詐騙組織從其他管道取得PChome買家的(片面)個資,並且以該組帳號密碼測試PChome線上購物與商店街等平台,進而掌握客戶的資料並撥打詐騙電話。
另外,面對不少網友表示PChome應設法強化內部安全控管能力等說法,楊璿回應表示:「由於PChome已十分嚴格的執行安全控管動作,因此目前沒有打算因應該事件採購任何的資安防範設備、或者是重新規劃內部的安全稽核機制。」
業界人士表示PChome的內部系統確實曾遭到駭客攻擊的。曾在PChome集團工作的業界人士指出,在其就任該公司的兩年內便聽聞過幾次內部系統遭外部入侵、攻擊的聲音,雖然不清楚這一次的狀況是不是因為系統遭入侵而導致資料客戶外洩,但因PChome的設計是買家以帳號密碼登入系統後即可看到所有交易資料,因此,只要曾入侵過該公司內部系統的駭客曾取得客戶個資,並且以此資料測試線上購物與商店街等平台,即有機會取得所有買賣交易資料,而不是一定得駭入PChome內部系統。
「建議網友為了自身安全著想,不定期更換自己的帳號與密碼。」他如是說。
資安業者呼籲PChome應審慎面對該事件。資安業者表示,若是有許多PChome客戶都在短期內接到詐騙電話,那代表PChome網站確實有出現一些問題,如系統可能被駭客外掛了一些可竊取個資的外掛程式、商店街的系統在與外部系統交換資料的流程不夠嚴謹、內部系統的資料庫存取流程不夠嚴謹,或者是熟悉PChome內部作業流程的有心人士東拼西湊的組出客戶資料,並且將之帶走。
「更重要的是,在個資法通過在即的現下,PChome等網路業者都必須更加重視該問題,因為在個資法三讀通過後,網站業者確實有可能因為其的防護工作作得不夠嚴謹而挨告。」他說。