前情提要: #1XAFrVsq (Bank_Service) 国内爆发爱心协会大规模捐款个资外泄，影响机构恐破200间， 关键资讯服务商网软遭骇仍在调查中 你的爱心捐款被骇客盯上了！百间公益团体系统为何爆资安风险？ https://www.cw.com.tw/article/5119624 年末一向是捐款的旺季，而台湾人究竟有多爱捐款？根据公益团体责信联盟的调 查指出，2020年台湾人定期定额捐款高达 1062 亿，相当於可以捐出一间上市公 司仁宝电脑了。 在数位转型的浪潮之下，公益团体不仅善用多元募款管道与捐 款人维系关系，也透过数位化的资料库系统管理所有捐款人的资料，不过伴随而 来的资安风险却始终未被看见。 文 林丽珊 天下Web only 发布时间：2022-01-05 2021年暑假，刑事局每周公布的诈骗高风险卖场中，反常地出现13间公益团体的 名字。 其中，26年历史的老字号社福团体至善基金会也赫然在列，与虾皮、PChome等电 商并列。 至善基金会副执行长武庭芳，在8月初才刚听说使用同资讯系统商的公益团体， 有捐款人遭诈骗，没想到8月11日那天，至善办公室里电话铃声大作，全是接到 诈骗电话的捐款人打来确认资讯。 「电话铃没停过，电话也全满线，我们从早接到晚上十点才离开公司，」从事助 人服务工作超过20年的武庭芳，从来没有遇过这种状况，她当机立断，要求系统 商迅速通发简讯提醒所有至善基金会的捐款人，也在所有社群网站、电话答录换 上警语，希望捐款人不要再上当受骗。 可是，她不禁感到疑惑，其实至善的刷卡是委托另一家资讯商，为什麽捐款人还 被诈骗？ 几个月後，答案终於水落石出。「这可能是对持卡人信心冲击最大的一次，」 Visa台湾区风险负责人沈玫芳略带沈重地说，这起案件的影响性。 沈玫芳分析，之前的盗刷主要都来自交通、零售厂商的卡号泄漏，盗取捐款资料， 即使在亚洲都是少见的新模式。 至善基金会执行长洪智杰(左)，万华分局侦查队赖重睿巡官(右)，至善捐款资料 遭到骇客入侵，积极协助受到影响的捐款人。（图片来源：至善提供） 含金量高的捐款人个资，竟成骇客新蓝海 ==================================== 这起台湾地区最大规模的公益团体捐款资料被盗案，问题出在资料库系统。 提供至善与其他200多间NPO系统服务的是一间叫网软（Intersoft）的资讯公司。 网软是由公益团体喜马拉雅研究发展基金会在1990年代所成立的资讯系统公司， 当时台湾公益团体正迈入资讯化的阶段，网软为公益团体提供所有需要的资讯系 统服务，包括捐款管理、志工管理、个案管理、行政管理等系统，也提供线上金 流整合的服务。 网软的资安检讨报告中指出，此次资料外泄事件的肇因，是捐款管理系统遭 到骇客的暴力攻击破解。 虽然，网软声称捐款系统资料库独立於其他的管理系统，但经天下记者四次询问， 网软仍不愿意透露受影响的资料库规模有多大、资料量有多少。 然而，单单是捐款管理系统的资料库里的未加密资料栏位之丰富，就让三名资安 专家为之色变。 协助至善基金会调查资料外泄情事的资安警察赖重睿指出，外泄的资料包括：捐 款人姓名、住址、电子邮件、联系电话、捐款方案、财务状况。「捐款要徵信、 抵税，所以捐款人的资料都填得正确又详细。」 换言之，这对骇客来说是非常有经济价值的资料。 Visa台湾区总经理赵丽芳（左），Visa台湾区风险管理负责人沈玫芳（右）。 （图片来源：Visa提供） 盗刷引Visa关切，发卡、收单银行断金流 ==================================== 最让人感到讶异的是，照理说，有储存信用卡卡号的资料库，都必须加密。 但正在协助公益团体打官司的尚澄律所主持律师蔡昆洲指出，案发後，公益团体 才发现，资料库里大量信用卡卡号没有加密。 这些卡号来自纸本信用卡扣款授权书，这种纸本授权书常见在旅行社、公益 团体使用，而许多公益团体拿到纸本授权书後，又会登打进捐款资料库中，是这 次外泄资料的最大灾区。网软曾在刑事局的调查会议中坦言，外泄数量约为六万 笔。 更讽刺的是，多数人之所以用纸本授权书，是因为认为自己使用纸本授权书比线 上刷卡还安全。 由於资料库没有加密，反而在毫无警觉的情况下，卡片持续被盗刷，直到异常的 刷卡行为惊动银行敏锐的神经，主动帮持卡人停卡、换卡。 公益团体自律联盟总监沈怡如说，捐款人开始会打来问，自己被换卡跟公益团体 资料外泄有没有关系，这对整体捐款生态当然伤害很大。 至善基金会原先有三千多笔使用信用卡委托授权的扣款，「从10月开始就有这种 定期定额扣款刷不过，11月单月就有188笔，」武庭芳忧心地说。 至善是案发後，最积极跟捐款人沟通，更换系统，也采取法律系统的公益团体。 天下采访Visa组织，询问标准流程。 针对卡号资料安全，国际信用卡组织其实有共通的支付卡产业资料安全标准 （PCI DSS）。 例如，在Visa资安蓝图中，资讯流里任何储存、传输或处理帐户的机构都需要遵 守PCI DSS的认证，并针对不同交易量的商户有不同等级规范。 按规定，公益团体应该要跟银行登记将系统外包给网软，银行替网软向Visa登记 注册，纳管网软的资安标准。 准备一次PCI DSS的认证费需约40到60万，增设设备的一次性支出可能高达上百 万。 而案发後，公益团体才发现，网软并没有PCIDSS认证。 目前，网软已决定不再储存卡号，并准备删除所有资料库当中的资料，也不再处 理公益团体的纸本刷卡授权书。 薄弱的防护，资安问题需要全身健检 ================================ 网软不碰卡号了，可是仍然还有其他捐款人、志工、义卖等数个系统的资料安全 仍存在风险，也因此目前网软正在接受顾问辅导申请ISO 27001资安标准认证。 一位资安专家表示，「网软针对整个程式开发逻辑可能存在的漏洞，还没有提出 系统性的解决方案，」他打了比方，这种处置像是头痛医头、脚痛医脚，但网软 需要的其实是定期的全身性健康检查，检查出未知的问题，而不是等真的出事了 才去补漏。 在资安专家的眼中，网软原先的防护薄如蛋壳，不足以确保系统能抵御目前主流 的骇客攻击手法。 不过在公益团体普遍缺乏专职资讯人员、资源不足的情况下，目前仍然有上百家 公益团体持续使用网软的系统服务。 另外，外泄的个资不会再回头。 迄今，网软与公益团体仍不知道被骇的范围，让未知的资安漏洞犹如未爆弹，很 难知道骇客把这份名单做了哪些应用、也不知道下一次可能还会使用哪些攻击手 法，可捐款人的信任禁不起一再消耗。 所以，如果捐款人有使用纸本委托授权公益团体扣款，都应该特别注意，仔 细查看每月对帐单是否有异常小额交易，开启刷卡交易提醒，或者在不刷卡时关 闭线上交易，也可以主动向银行要求换卡。 公益团体需要建立资安意识 ======================== 至善基金会在外泄事件後，在组织内配置了一位专门的资讯系统人员，也将系统 从网软转移到微软 Azure上云端，虽然系统维护年费价差多了14倍，「对民间团 体来说是辛苦的，但保护好捐款人的资料，我们责无旁贷。」 16间受到损害的公益团体准备对网软未善尽资料保护责任采取民事诉讼求偿，求 偿金额从数万至百万不等，「每间公益团体的损害不同，有被捐款人停止捐款、 被捐款人求偿，也有被长期赞助的企业中止合作。」蔡昆洲说。 对於公益团体来说，信任是最宝贵的资产，在网路时代资安问题就是信任问题， 捐款人的善意让公益团体能够为个案在黑暗中点亮一簇火苗，也同样该在充满风 险的网路环境中，为捐款人的信任撑一把伞。 - 现在金融业、医院已需要标配资安长 以後也会是各大型上市公司的标配了。(*1) 对於一般人也不是事不关己， 在撸各支付、商店的优惠之前，先看看业者有没有PCI-DSS认证， 卡号不要随便进个不认识的外国网站也乱给。 不然即使银行会处理盗刷後续，光和银行在那来来回回就够你烦的。 如果是自家商店要弄金流，那就更得注意相关认证标准了。 *1: 赶在2021年结束之前，金管会正式要求 台湾上市柜大型企业都需设置资安长，让此要求扩及各类传产与电子产业 https://www.ithome.com.tw/news/148662 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.34.110.137 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/creditcard/M.1641464973.A.ED7.html