無論國內外媒體,三不五時就能看見個資外洩的新聞,日前,資安業者Imperva還發佈新聞稿指出,有駭客在網路上宣稱只要支付500美元,就能取得控制美國軍方網站的權利,這許許多多網站攻擊事件的背後,都有一個相同點,就是網站程式本身的安全性不足,導致駭客可以輕易地攻城掠地,這種情況在EC產業尤為常見。
許多EC平台為委外開發,委外廠商在開發系統時並未將安全考量納入,等到實際上線後陸續遭遇到各種資安問題,這時才發現原始程式有安全漏洞,而這也是EC業者最頭痛的地方。
敦陽IT管理技術開發處處長李欣陽指出,根據過往為客戶進行滲透測試的經驗來看,要找出EC平台的漏洞並不困難,問題在於如何修補滲透測試所找到的漏洞。EC業者經常面臨的狀況是,原始開發程式的公司已經倒閉無法修改,或者程式開發商仍持續營運,但要求EC業者付費才願意修改,或者程式修改品質不佳。
因此,李欣陽建議,比較好的方式,就是在程式上線前先控管好安全品質,也就是在委外廠商開發完程式以後,先由資安公司進行安全驗證,確認這是一隻安全的程式後,才算完成交貨驗收程序。EC平台使用者數量多、範圍廣,很容易成為駭客攻擊的標靶,惟有從程式本身做好安全,才能降低資安損失與風險。