http://www.zdnet.com.tw/enterprise/topic/entapps/0,2000085735,20127728,00.htm
誠品外洩個資 源頭指向合作廠商
ZDNet記者馬培治/台北報導
2008/02/21 19:54
誠品網路書店發生會員資料外洩事件,誠品初步判定,外洩漏洞可能與合作的物流或取貨通路有關。
會員人數超過40萬的誠品網路書店,自18日起陸續傳出有會員接到詐騙集團以帳目有誤為由,要求會員至自動提款機(ATM)進行「帳務設定」的詐財電話,由於詐騙集團能正確無誤說出消費者的個人資料與消費記錄,引起消費者懷疑誠品外洩會員個資。誠品書店公關蔡嘉芬則表示,已向刑事局偵九隊報案,初步發現接到詐騙電話的會員消費時間集中在去年12月,且都是選擇超商取貨,警方初步研判個資外洩漏洞可能出在合作的物流業者或取貨通路。
不過警方也尚未排除其他外洩漏洞的可能。刑事局犯罪預防科警務正常金蘭依據過去偵辦Payeasy、東森購物等個資外洩案的經驗表示,詐騙集團仍可能採用「資料拼圖」的手法,利用已搜集到的使用者姓名、身份證字號、生日、電話與其他網站帳號等資料,找出可能的帳號密碼組合,直接登入系統觀看消費記錄。
值得注意的是,誠品目前尚無法掌握有多少會員個資外洩。蔡嘉芬表示,在警方初步調查後,發現誠品的電腦系統並無被駭或異常現象,但從已投訴或報案的用戶資料看來,已整理出約6000筆去年12月曾在該網站購書的會員,並初步列為危險族群,但亦強調絕非有6000筆會員資料外洩。
不過從網友的反應看來,外洩的交易資料可能不僅限於去年12月。網友ujiew便在電子佈告欄PTT的book版留言指出,他於上週在誠品網路書店購書,隨即在18日接到詐騙電話;顯然可能的危險群可能會比誠品推估的要來得多。
誠品公關副主任黃惠玲表示並未接到12月以外時段購書的用戶投訴,表示調查仍在進行中,會積極了解。
誠品亦尚未能掌握到會員受害狀況。蔡嘉芬表示,尚未發現有會員遭詐騙成功,但常金蘭卻說,今(21)天就至少有兩名受害者報案,其中一人被騙超過七萬元。
國內近年資料外洩事件頻傳,從政府機關疾管局到東森、Payeasy等無店舖零售頁,乃至三大網路書店中的博客來、金石堂,去年都相繼傳出類似案件,誠品如今也無法倖免。
為亡羊補牢,誠品已在首頁上以彈出式視窗及公告的方式,提醒會員小心詐騙電話,並透過簡訊及電子郵件通知去年12月曾經消費過的6000名會員。
警方:誠品動作不積極
常金蘭認為,誠品應該立刻將危險名單上的會員停權,並一一以電話告知,必須重新認證、更改密碼後,才可恢復權限,「光用簡訊或電子郵件通知根本不夠,篇幅太短也說不清楚,」她說。
常金蘭亦說,由於詐騙集團多半是在對岸透過電腦與電話進行詐騙,警方就算找到源頭也不一定能逮捕,因此她建議誠品應該採取更積極作為,「否則報案只保護得了誠品自己,保護不到消費者,」她說。
趨勢科技技術顧問戴燊則提醒掌握大量用戶資料企業,必須訂定明確資料管理政策,並透過專業工具強制執行與監控;RSA北亞區技術顧問黃惠美則說,企業與往來廠商若需要交換用戶資料,應小心檢視流程是否安全,且應只揭露必要的資訊,並確實做好權限管理以降低風險。
誠品外洩個資 源頭指向合作廠商
ZDNet記者馬培治/台北報導
2008/02/21 19:54
誠品網路書店發生會員資料外洩事件,誠品初步判定,外洩漏洞可能與合作的物流或取貨通路有關。
會員人數超過40萬的誠品網路書店,自18日起陸續傳出有會員接到詐騙集團以帳目有誤為由,要求會員至自動提款機(ATM)進行「帳務設定」的詐財電話,由於詐騙集團能正確無誤說出消費者的個人資料與消費記錄,引起消費者懷疑誠品外洩會員個資。誠品書店公關蔡嘉芬則表示,已向刑事局偵九隊報案,初步發現接到詐騙電話的會員消費時間集中在去年12月,且都是選擇超商取貨,警方初步研判個資外洩漏洞可能出在合作的物流業者或取貨通路。
不過警方也尚未排除其他外洩漏洞的可能。刑事局犯罪預防科警務正常金蘭依據過去偵辦Payeasy、東森購物等個資外洩案的經驗表示,詐騙集團仍可能採用「資料拼圖」的手法,利用已搜集到的使用者姓名、身份證字號、生日、電話與其他網站帳號等資料,找出可能的帳號密碼組合,直接登入系統觀看消費記錄。
值得注意的是,誠品目前尚無法掌握有多少會員個資外洩。蔡嘉芬表示,在警方初步調查後,發現誠品的電腦系統並無被駭或異常現象,但從已投訴或報案的用戶資料看來,已整理出約6000筆去年12月曾在該網站購書的會員,並初步列為危險族群,但亦強調絕非有6000筆會員資料外洩。
不過從網友的反應看來,外洩的交易資料可能不僅限於去年12月。網友ujiew便在電子佈告欄PTT的book版留言指出,他於上週在誠品網路書店購書,隨即在18日接到詐騙電話;顯然可能的危險群可能會比誠品推估的要來得多。
誠品公關副主任黃惠玲表示並未接到12月以外時段購書的用戶投訴,表示調查仍在進行中,會積極了解。
誠品亦尚未能掌握到會員受害狀況。蔡嘉芬表示,尚未發現有會員遭詐騙成功,但常金蘭卻說,今(21)天就至少有兩名受害者報案,其中一人被騙超過七萬元。
國內近年資料外洩事件頻傳,從政府機關疾管局到東森、Payeasy等無店舖零售頁,乃至三大網路書店中的博客來、金石堂,去年都相繼傳出類似案件,誠品如今也無法倖免。
為亡羊補牢,誠品已在首頁上以彈出式視窗及公告的方式,提醒會員小心詐騙電話,並透過簡訊及電子郵件通知去年12月曾經消費過的6000名會員。
警方:誠品動作不積極
常金蘭認為,誠品應該立刻將危險名單上的會員停權,並一一以電話告知,必須重新認證、更改密碼後,才可恢復權限,「光用簡訊或電子郵件通知根本不夠,篇幅太短也說不清楚,」她說。
常金蘭亦說,由於詐騙集團多半是在對岸透過電腦與電話進行詐騙,警方就算找到源頭也不一定能逮捕,因此她建議誠品應該採取更積極作為,「否則報案只保護得了誠品自己,保護不到消費者,」她說。
趨勢科技技術顧問戴燊則提醒掌握大量用戶資料企業,必須訂定明確資料管理政策,並透過專業工具強制執行與監控;RSA北亞區技術顧問黃惠美則說,企業與往來廠商若需要交換用戶資料,應小心檢視流程是否安全,且應只揭露必要的資訊,並確實做好權限管理以降低風險。
全站熱搜
留言列表
資訊安全 (4)
