網購頻傳資料外洩 專家：應檢討交易流程

| | | | | | 3則回應

    

國內知名線上或電視購物業者紛傳資料外洩，台新銀行關係企業、知名購物網站Payeasy更在上週日發生五千多筆會員密碼遭破解事件。資安專家表示，網購業者除了要求使用者不要使用懶人密碼、並小心木馬程式盜錄帳號密碼外，也應檢討自身交易流程設計，從供貨、物流到取貨等階段，修補可能藏有交易資料外洩的漏洞。

Payeasy日前(12/9)傳出高達5467筆會員帳號密碼遭駭客破解的事件，Payeasy在聲明稿中表示，駭客是透過手上已有的個人資料拼湊、測試出用戶的密碼，登入後取得更進一步的個人資料後，再進行ATM轉帳詐騙，Payeasy強調其資料庫並未被駭、網站亦安全無虞，同時提醒用戶更改密碼以防萬一。

Payeasy並非唯一被詐騙集團盯上的標的。自今年六月起，由興奇科技營運的雅虎奇摩購物中心爆發國內首樁大型購物網站詐騙事件後，包括東森購物、博客來與金石堂網路書店等都相繼傳出類似詐騙手法：透過電話聯繫消費者，且正確說出消費狀況取得信任後，再以帳款有誤等理由要求消費者至ATM轉帳，只是Payeasy是首個使用者密碼被大宗破解的受害網站。

「從這幾個事件觀察，歹徒取得個人資料的目的都是要進行ATM轉帳詐騙，目標並不是資料本身，而是要用來進行傳統的社交工程，」RSA北亞區技術顧問黃惠美表示，從已披露的內容來看，取得交易資料的手法不像是入侵業者的資料庫、詐騙集團也未完整掌握所有用戶的全部資料，「比較像是從其他管道獲得，」她說。

目前正在協助國內某購物網站進行資安體檢的黃惠美說，購物網站對於資訊系統、線上安全等資安防護多半有一定水準，但卻常常忽略線上訂貨交易系統以外的安全漏洞。

「有的網購業者會把使用者的訂貨內容、姓名、電話、地址等資料傳給上游供應商，或是物流業者，很多個人資料便是這樣外流出去，」黃惠美說。

一般說來，消費者在線上下單並以信用卡付款後，網購業者便會將商品交由物流送出，但有部分購物業者為減低倉儲成本，則是在接單後將訂貨資料轉給供應商，由供應商直接出貨給消費者；或是以代收貨款的方式，讓物流業者或便利商店代收，若業者沒有在包裝上做好設計，「光想想全台灣有多少家便利商店提供取貨服務，就至少有相同數量的可能漏洞，」黃惠美表示。

她提醒相關業者，必須儘快審視整套交易取貨流程的設計是否存在上述漏洞、提供給協力廠商的資訊也不要包含非必要的用戶資料，以減低外洩風險；若不同廠商間的確有交換用戶資料的必要，她則建議廠商可採用聯盟身份認證管理(Federal Identity Management)系統來取代以明碼直接交換用戶資料的舊方法，一方面達到資料交換的目的，但可同時讓未取得授權的一般員工或外部駭客無法讀取到資料。

「除了資安界一直在談的資料安全、外洩防護，資訊流與工作流程的控管更不應被忽略，」黃惠美說。