誠品外洩個資 源頭指向合作廠商

| | | | | | 2則回應

    

會員人數超過40萬的誠品網路書店，自18日起陸續傳出有會員接到詐騙集團以帳目有誤為由，要求會員至自動提款機(ATM)進行「帳務設定」的詐財電話，由於詐騙集團能正確無誤說出消費者的個人資料與消費記錄，引起消費者懷疑誠品外洩會員個資。誠品書店公關蔡嘉芬則表示，已向刑事局偵九隊報案，初步發現接到詐騙電話的會員消費時間集中在去年12月，且都是選擇超商取貨，警方初步研判個資外洩漏洞可能出在合作的物流業者或取貨通路。

不過警方也尚未排除其他外洩漏洞的可能。刑事局犯罪預防科警務正常金蘭依據過去偵辦Payeasy、東森購物等個資外洩案的經驗表示，詐騙集團仍可能採用「資料拼圖」的手法，利用已搜集到的使用者姓名、身份證字號、生日、電話與其他網站帳號等資料，找出可能的帳號密碼組合，直接登入系統觀看消費記錄。

值得注意的是，誠品目前尚無法掌握有多少會員個資外洩。蔡嘉芬表示，在警方初步調查後，發現誠品的電腦系統並無被駭或異常現象，但從已投訴或報案的用戶資料看來，已整理出約6000筆去年12月曾在該網站購書的會員，並初步列為危險族群，但亦強調絕非有6000筆會員資料外洩。

不過從網友的反應看來，外洩的交易資料可能不僅限於去年12月。網友ujiew便在電子佈告欄PTT的book版留言指出，他於上週在誠品網路書店購書，隨即在18日接到詐騙電話；顯然可能的危險群可能會比誠品推估的要來得多。

誠品公關副主任黃惠玲表示並未接到12月以外時段購書的用戶投訴，表示調查仍在進行中，會積極了解。

誠品亦尚未能掌握到會員受害狀況。蔡嘉芬表示，尚未發現有會員遭詐騙成功，但常金蘭卻說，今(21)天就至少有兩名受害者報案，其中一人被騙超過七萬元。

國內近年資料外洩事件頻傳，從政府機關疾管局到東森、Payeasy等無店舖零售頁，乃至三大網路書店中的博客來、金石堂，去年都相繼傳出類似案件，誠品如今也無法倖免。

為亡羊補牢，誠品已在首頁上以彈出式視窗及公告的方式，提醒會員小心詐騙電話，並透過簡訊及電子郵件通知去年12月曾經消費過的6000名會員。

警方：誠品動作不積極

常金蘭認為，誠品應該立刻將危險名單上的會員停權，並一一以電話告知，必須重新認證、更改密碼後，才可恢復權限，「光用簡訊或電子郵件通知根本不夠，篇幅太短也說不清楚，」她說。

常金蘭亦說，由於詐騙集團多半是在對岸透過電腦與電話進行詐騙，警方就算找到源頭也不一定能逮捕，因此她建議誠品應該採取更積極作為，「否則報案只保護得了誠品自己，保護不到消費者，」她說。

趨勢科技技術顧問戴燊則提醒掌握大量用戶資料企業，必須訂定明確資料管理政策，並透過專業工具強制執行與監控；RSA北亞區技術顧問黃惠美則說，企業與往來廠商若需要交換用戶資料，應小心檢視流程是否安全，且應只揭露必要的資訊，並確實做好權限管理以降低風險。