http://www.zdnet.com.tw/news/software/0,2000085678,20127728,00.htm 誠品外洩個資 源頭指向合作廠商 ZDNet記者馬培治／台北報導 2008/02/21 19:54 誠品網路書店發生會員資料外洩事件，誠品初步判定，外洩漏洞可能與合作的物流或 取貨通路有關。 會員人數超過40萬的誠品網路書店，自18日起陸續傳出有會員接到詐騙集團以帳目有 誤為由，要求會員至自動提款機(ATM)進行「帳務設定」的詐財電話，由於詐騙集團能 正確無誤說出消費者的個人資料與消費記錄，引起消費者懷疑誠品外洩會員個資。誠品 書店公關蔡嘉芬則表示，已向刑事局偵九隊報案，初步發現接到詐騙電話的會員消費時 間集中在去年12月，且都是選擇超商取貨，警方初步研判個資外洩漏洞可能出在合作的 物流業者或取貨通路。 不過警方也尚未排除其他外洩漏洞的可能。刑事局犯罪預防科警務正常金蘭依據過去 偵辦Payeasy、東森購物等個資外洩案的經驗表示，詐騙集團仍可能採用「資料拼圖」 的手法，利用已搜集到的使用者姓名、身份證字號、生日、電話與其他網站帳號等資料， 找出可能的帳號密碼組合，直接登入系統觀看消費記錄。 值得注意的是，誠品目前尚無法掌握有多少會員個資外洩。蔡嘉芬表示，在警方初步 調查後，發現誠品的電腦系統並無被駭或異常現象，但從已投訴或報案的用戶資料看來， 已整理出約6000筆去年12月曾在該網站購書的會員，並初步列為危險族群，但亦強調絕 非有6000筆會員資料外洩。 不過從網友的反應看來，外洩的交易資料可能不僅限於去年12月。網友ujiew便在電 子佈告欄PTT的book版留言指出，他於上週在誠品網路書店購書，隨即在18日接到詐騙 電話；顯然可能的危險群可能會比誠品推估的要來得多。 誠品公關副主任黃惠玲表示並未接到12月以外時段購書的用戶投訴，表示調查仍在進 行中，會積極了解。 誠品亦尚未能掌握到會員受害狀況。蔡嘉芬表示，尚未發現有會員遭詐騙成功，但常 金蘭卻說，今(21)天就至少有兩名受害者報案，其中一人被騙超過七萬元。 國內近年資料外洩事件頻傳，從政府機關疾管局到東森、Payeasy等無店舖零售頁， 乃至三大網路書店中的博客來、金石堂，去年都相繼傳出類似案件，誠品如今也無法倖 免。 為亡羊補牢，誠品已在首頁上以彈出式視窗及公告的方式，提醒會員小心詐騙電話， 並透過簡訊及電子郵件通知去年12月曾經消費過的6000名會員。 警方：誠品動作不積極 常金蘭認為，誠品應該立刻將危險名單上的會員停權，並一一以電話告知，必須重新 認證、更改密碼後，才可恢復權限，「光用簡訊或電子郵件通知根本不夠，篇幅太短也 說不清楚，」她說。 常金蘭亦說，由於詐騙集團多半是在對岸透過電腦與電話進行詐騙，警方就算找到源 頭也不一定能逮捕，因此她建議誠品應該採取更積極作為，「否則報案只保護得了誠品 自己，保護不到消費者，」她說。 趨勢科技技術顧問戴燊則提醒掌握大量用戶資料企業，必須訂定明確資料管理政策， 並透過專業工具強制執行與監控；RSA北亞區技術顧問黃惠美則說，企業與往來廠商若需 要交換用戶資料，應小心檢視流程是否安全，且應只揭露必要的資訊，並確實做好權限 管理以降低風險。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.31.3