http://www.zdnet.com.tw/news/software/0,2000085678,20127728,00.htm 诚品外泄个资 源头指向合作厂商 ZDNet记者马培治／台北报导 2008/02/21 19:54 诚品网路书店发生会员资料外泄事件，诚品初步判定，外泄漏洞可能与合作的物流或 取货通路有关。 会员人数超过40万的诚品网路书店，自18日起陆续传出有会员接到诈骗集团以帐目有 误为由，要求会员至自动提款机(ATM)进行「帐务设定」的诈财电话，由於诈骗集团能 正确无误说出消费者的个人资料与消费记录，引起消费者怀疑诚品外泄会员个资。诚品 书店公关蔡嘉芬则表示，已向刑事局侦九队报案，初步发现接到诈骗电话的会员消费时 间集中在去年12月，且都是选择超商取货，警方初步研判个资外泄漏洞可能出在合作的 物流业者或取货通路。 不过警方也尚未排除其他外泄漏洞的可能。刑事局犯罪预防科警务正常金兰依据过去 侦办Payeasy、东森购物等个资外泄案的经验表示，诈骗集团仍可能采用「资料拼图」 的手法，利用已搜集到的使用者姓名、身份证字号、生日、电话与其他网站帐号等资料， 找出可能的帐号密码组合，直接登入系统观看消费记录。 值得注意的是，诚品目前尚无法掌握有多少会员个资外泄。蔡嘉芬表示，在警方初步 调查後，发现诚品的电脑系统并无被骇或异常现象，但从已投诉或报案的用户资料看来， 已整理出约6000笔去年12月曾在该网站购书的会员，并初步列为危险族群，但亦强调绝 非有6000笔会员资料外泄。 不过从网友的反应看来，外泄的交易资料可能不仅限於去年12月。网友ujiew便在电 子布告栏PTT的book版留言指出，他於上周在诚品网路书店购书，随即在18日接到诈骗 电话；显然可能的危险群可能会比诚品推估的要来得多。 诚品公关副主任黄惠玲表示并未接到12月以外时段购书的用户投诉，表示调查仍在进 行中，会积极了解。 诚品亦尚未能掌握到会员受害状况。蔡嘉芬表示，尚未发现有会员遭诈骗成功，但常 金兰却说，今(21)天就至少有两名受害者报案，其中一人被骗超过七万元。 国内近年资料外泄事件频传，从政府机关疾管局到东森、Payeasy等无店舖零售页， 乃至三大网路书店中的博客来、金石堂，去年都相继传出类似案件，诚品如今也无法幸 免。 为亡羊补牢，诚品已在首页上以弹出式视窗及公告的方式，提醒会员小心诈骗电话， 并透过简讯及电子邮件通知去年12月曾经消费过的6000名会员。 警方：诚品动作不积极 常金兰认为，诚品应该立刻将危险名单上的会员停权，并一一以电话告知，必须重新 认证、更改密码後，才可恢复权限，「光用简讯或电子邮件通知根本不够，篇幅太短也 说不清楚，」她说。 常金兰亦说，由於诈骗集团多半是在对岸透过电脑与电话进行诈骗，警方就算找到源 头也不一定能逮捕，因此她建议诚品应该采取更积极作为，「否则报案只保护得了诚品 自己，保护不到消费者，」她说。 趋势科技技术顾问戴燊则提醒掌握大量用户资料企业，必须订定明确资料管理政策， 并透过专业工具强制执行与监控；RSA北亚区技术顾问黄惠美则说，企业与往来厂商若需 要交换用户资料，应小心检视流程是否安全，且应只揭露必要的资讯，并确实做好权限 管理以降低风险。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.31.3