Hola特力和樂於今年9月爆發千元禮券標錯價事件,導致網友瘋狂下標6.4億張禮券,並聲稱一切都是駭客惹的禍。不過現在卻傳出Hola要控告一名徐姓學生,由於他下訂共64億筆千元禮券訂單,因而被Hola控告妨害電腦使用罪。
資安專家推測,第一頁或許有下拉式選單可以限制訂單數量,第二頁確認訂單數目時可以調整,但可能未限制單筆上限,因此才可讓消費者下訂如此大的數量。但這算是商業邏輯漏洞,也就是在規劃流程時的問題,屬於設計上的瑕疵,使用者是按照業者提供的正常功能操作,屬於正常流程,很難界定攻擊者是故意的,而看到零元的標價,消費者真的有意購買,頂多只能以道德譴責他是貪心,很難算是犯法。
資策會科技法律中心組長吳兆琰表示,相關的事件其實可以參考2003年發生的「花旗銀行網路申請信用卡個資外洩事件」(註1),吳兆琰回憶,當時花旗銀行也曾以妨害電腦使用罪(註2)控告曹姓教師,不過最後也是沒有告成,因此未留下判例。當發現業者有漏洞時,消費者可能會選擇利用或揭露,但如果錯誤來自業者本身,案子可能就很難告得成。
而此法為告訴乃論,提告者需提出證據,吳兆琰認為要判斷是否為商業邏輯漏洞或是電腦系統漏洞,並沒有明確的定義,業者必須要自行調查並請人來鑑定,她認為Hola此舉乃為嚇阻意味較重,若要提告成功機會並不大。
而回歸到問題的核心,真正的安全性問題是發生在哪裡?標價變成0元,是價格被竄改還是由於內部作業疏失?這才是問題點。無論是要嚇阻求償者或是為了轉移焦點,把消費者指為駭客,實在不是生意人的明智之舉。
註1:根據新聞報導,2003年8月,文藻外語學院老師曹志誠上網申請信用卡,卻意外發現可以看見其他用戶的個資,在向客服人員聯繫之後卻未獲改善,最後只好訴諸媒體,最後經過調查發現原因為花旗銀行網頁設計有誤,用戶只要更改序號便能看見他人資料。
註2:刑法第三十六章妨害電腦使用罪-第358 條:無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。第359條:無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。