曾經在網路上流傳一個笑話,由真實事件改編而成。
某甲入境中國大陸時,機場官員用系統一查說:「咦,你的身分證字號有跟別人重複喔!」某甲:「…」
這則笑話聽來十分可悲,但卻是不爭的事實。這幾年來民眾在各企業、機關網站所留下的個人資料,不管是因為網站被駭客入侵,或站方自己沒管好而自動攤在Google上,都已經被匯集成台灣人民個資資料庫,資料越來越齊全。
個資交易黑市在大陸蓬勃發展成可觀的地下經濟,現在大家所面對的是有規模、組織化的犯罪集團,鎖定目標後策劃攻擊行動。但許多擁有個資的業者卻仍然置身事外,不重視資料外洩問題。資料外洩不是新鮮事,但是有跡象顯示,這一兩年來知名的線上購物網站都發生資料外洩事件後,現在被鎖定的已經是二線購物網站。
網拍的問題:身分認證機制最大關鍵
根據研考會98年數位落差調查報告統計,在全台上網人口中,59.3%曾經進行線上購物。而資策會MIC預估,2010年台灣線上購物市場規模將達到新台幣3,583億元,年成長率為21.5%。龐大的線上購物市場規模,薄弱的消費者安全意識,鬆散的法制環境,蠻不在乎的業者態度,造成了現在個資外洩及網路犯罪詐騙問題。
今年8月,在兩岸警力跨國合作下,一舉破獲450多人的跨國詐騙集團,此後165報案件數有明顯下降。根據165的統計,詐騙排名第一的是網拍詐騙,網購詐騙則排名第三。165表示,先前曾經發生過資料外洩的網購業者,這段時間以來問題確實已有改善,所以報案電話數已下降,但是網拍詐騙的問題仍然很大。
高評價帳號不可信 小額商品也被騙
過去專家們常提醒,詐騙集團會針對評價高的賣家帳號,寄發含有木馬的郵件,讓賣家中毒後,再盜用其帳號,但現在有犯罪集團乾脆自己來養帳號。刑事局偵查員王鈞賦指出,這波落網的犯罪集團分工細膩。有專門負責在各拍賣平台養帳號累積假評價的小組,還有專門負責觀察網路熱銷商品的小組,前陣子熱賣的長長久久(99年9月9日)永保安康車票也成為詐騙集團的詐騙釣餌。不肖歹徒看準消費者不會為了幾百元的損失去報案,所以能騙就騙,連車票此類小額商品也不放過。
貨到付款 仍不可靠
雖然過去也不斷呼籲消費者選擇貨到付款或面交比較安全,但許多消費者在面對物流人員的那一刻,仍然是收到貨之後就立即付款,等到拆箱驗貨發現是兩瓶飲料,已經來不及。不只網拍,過去也曾發生過從頭到尾都是假的,假網站、假客服、假物流。165反詐騙諮詢專線小組表示,可能的話,採用線上刷卡也許比較安全,至少有銀行履約保證。但各商家對刷卡資料如何保護則是另一問題。
身分認證最關鍵
網拍業者為了解決會員帳號被盜的問題,推出各種帳號保護機制,而為了強化賣家身分的真實性,Yahoo!奇摩今年1月推出安心賣家認證機制,新增一道銀行信用卡或金融帳戶的身分證號核對。儘管如此,難以完全杜絕存心詐騙的假賣家。7月曾傳出有歹徒透過人頭門號以及買來的信用卡個資通過安心賣家認證,詐騙依舊得逞。
165建議,身分認證機制可以從以下方面強化:一、簡易版,使用者註冊時的IP位址應與登入系統的IP位址比對驗證,以防止帳號被盜後遭冒名登入,同時要阻擋透過proxy登入的使用者。但這個方法不盡完善,畢竟IP或MAC位址技術上都證實可被竄改。二進階版、目前除了自然人憑證外,市面上也有各種商品化的動態密碼產生器(OTP token),以及網路銀行或遊戲業者所自行設計的各種身分驗證機制,包括手機簡訊OTP等。日前,165反詐騙中心也與業者合作,建立網路實名驗證中心。與過去的手機簡訊OTP不同,其動態密碼將顯示在實體電腦而非手機,使用者再將此組OTP輸入簡訊傳回驗證中心,就可確認真實身分。未來預計提供給中小型網購業者採用,如果有異常驗證資料,165就可介入調查。但前提是如果用在拍賣,不能讓賣家使用預付卡門號申請認證。此外,建議使用3G/3.5G 智慧手機較安全。
論壇是三不管地帶
社群網站沒有主管機關。使用者帳密被盜的問題仍然嚴重,且犯罪集團透過社群平台來詐騙,例如台大BBS站PTT合購版。165反詐騙中心警官感慨,現在人反而比較相信網友,相信網路上的陌生人,沒見過面就輕易把錢交出去合購、代購,詐騙集團輕鬆獲利幾十萬元。
|
中小網購業者不懂網頁程式安全 外包商也未必懂
除了網拍平台是詐騙集團最愛流連忘返之處外,近期在Mobile 01論壇上,關於網購之後接到詐騙電話的討論串,則有一家以Mac周邊商品起家的購物網站,以及一家以機車同好社群的論壇發展成機車周邊商品的購物平台。這兩家業者對於資料外洩事件都三緘其口,拒訪不願說明。但相同的是,都在其網站首頁張貼「防詐騙公告」。不知業者是善盡提醒或撇清責任,但希望業者能徹查清楚資料外洩問題源頭,避免一洩再洩。
曾協助線上購物業者處理資料外洩事件的資安顧問表示,常見的資料外洩事件,可以歸納以下三個原因:
資料外洩原因1:端點遭滲透,從用戶電腦入侵
當企業開始在閘道端架起層層防禦設施,從大門不容易攻進,就想盡辦法從端末點滲透。對駭客來說,要順利滲透企業員工電腦,一點都不難。今年初網路巨人Google遭受到極光行動的攻擊,原因就是工程師被精心設計的社交工程手法所騙。可以想見,駭客若是鎖定滲透某網站,只要在台灣人民個資資料庫搜尋,得知目標對象的員工,然後比對出員工的日常作息、業務往來,設計一封假的社交工程郵件就能輕易讓目標對象上鉤。
資安顧問指出,這些被滲透的端點電腦,如果又是經手客戶個資的承辦人員,資料很容易被傳送出去。此外,資安顧問提醒,消費者將來在各網站留個人資料時應避免留下公司電子郵件信箱以及公司職稱,否則一旦該網站淪陷,所有客戶的個資都可以被歸戶彙整。
數聯資安副總經理張裕敏提醒,企業一旦發現被駭客入侵,應徹底做好以下事情:內部網段擺幾台入侵防禦系統(IPS),持續監控至少3個月;全面更換所有系統的密碼,包括使用者MSN的密碼等;存有員工個資的系統,如HR人資系統,應採更高規格的防護。因為駭客只要進來摸過HR系統,就可以知道公司內部員工與職務資料,下次改寄社交工程郵件,就又從端點進來了。此外,HR系統還存有員工家裡地址、電話等私人個資,所以企業若不管好HR系統,也會違反個資法。
資料外洩原因
2:網頁應用程式的弱點及委外開發的問題
第一個問題:過去許多網站遭受攻擊導致資料外洩,手法都是透過資料隱碼(SQL Injection)攻擊,這個從最早出現至今已經有10年歷史的網頁設計問題仍然存在許多網站中。張裕敏指出,在網頁設計實務上也常有垂直權限控管的疏失,即商業邏輯漏洞。一個普通權限的使用者帳號在存取系統頁面深到目錄底下,這時再開另一個系統,就變成有管理者權限,就可能看到不該看的資料了。
大型電子商務業者有自己的人力自行開發系統,比較會注意到網頁程式安全問題。但許多中小型業者的購物網站是委外開發,不只網購業者不知道網頁程式安全問題,就連網頁設計公司也未必了解。
第二個問題:為客戶設計網頁也做主機監控代管、IT維運的多奇數位技術總監黃保翕指出,許多中小型網購業者因為很難招募到合適的人才寫程式、管主機,因此會委外開發,但往往他們也沒能力驗收委外廠商交付的網站是否足夠安全。他提出幾點建議:1.許多線上商店是使用虛擬主機,使用虛擬主機,只要一個網站有問題,很容易被反查出來同一主機上有什麼網站。建議網購業者至少要有自己獨立主機,不要共用虛擬主機。2.平台的問題。許多主機代管業者是使用國外平台來提供網頁設計,此類平台未必安全。3.如果委外開發的軟體公司,從系統開發到驗收就已經換過一票人接手,建議網購業者一定要找第三方單位來協助測試驗收。
第三個問題:也有部份網頁設計公司是使用開原碼的購物車模組來為客戶設計網頁,一旦軟體有漏洞,影響所及是所有購買該模組的客戶。資安專家強調,不管是使用這些開原碼架站系統或模組,最重要關鍵的是系統上線後是否有定期追蹤該系統弱點的最新新聞。此外,開原碼客製化也是另一個重大的弱點,許多開原碼系統或模組本身沒有弱點,但是在客製化過程中,開發團隊對於該系統或模組未具備足夠的了解,就新增或修改程式流程,反而「創造」了新弱點。
第四個問題:除了上述問題,許多中小型線上商店仍使用早期委外開發的老舊網站系統,後台訂單資料也屢屢被Google耙走,客戶個資一覽無遺。成立已逾10年的位博數位工程部總監林經緯指出,10年前Google搜尋引擎尚未如此強大,當時的做法是在前台有個隱藏的後台管理系統連結,這是導致後來不斷被Google撈取的原因。新版本已沒有此問題,但許多使用舊版的客戶不肯升級更新,位博只能遠端連線進去幫忙改,並協助跟Google提出申請移除被cache走的個資。但客戶只要又複製舊版程式使用,這些問題就又會反覆出現。中小企業主不重視客戶個資外洩,明知問題卻仍用治標不治本的方式處理。
資料外洩原因
3:人員的問題:應建立異常偵測機制
人的問題,包括刻意或惡意的外洩,也是常見資料外洩的原因。雖然許多措施是防君子不防小人,但透過技術面預防和偵測機制可儘量降低風險。包括做好身分認證與 權限控管,掌握最小原則以及權限異常使用的偵測機制,例如日誌管理工具。並且要有專人定期稽核與檢測。網駭科技總經理徐千洋也指出,中小企業會有的問題是,一人身兼多職,從系統開發到後台資料庫管理都是同一人,沒有稽核檢查機制,這樣就算資料被帶走,根本也無從發現起。
合法使用者做非法的事,也是常見的資料外洩問題,尤其是快離職的員工。張裕敏建議企業必須制訂內稽內控規則,可以加在SIEM平台(或SOC服務)當中,一旦有違反政策的行為出現時,就能第一時間及時阻擋。
消費者集體力量 抵制不負責任業者
綜上所述,個資外洩,洩不停,解決問題需要從網購業者、消費者本身、法規制度等多方面共同努力。
中小型電子商務業者的問題是對個資保護認知低,即使個資法已經三讀通過,也不認為將來會有多嚴重,甚至在外包系統時,還堅持要用身分證字號做認證,或如上述案例,預算有限,處理問題治標不治本。
有過慘痛經驗的業者雖然會編列資安預算、有人力可以做,但是資安工作執行落實與否又是問題。同時,資安廠商是否有足夠專業,能提供合適的解決方案或服務也是個資漏洞能否被補起來的原因之一。
目前,線上購物主管機關經濟部商業司對於電子商務安全有許多計畫,其中之一是將推出電子商務網站身分識別標章,將來擁有EV-SSL認證,同時通過網頁掛馬檢測的網站,才能取得安心標章。
最後,當問及受訪的資安專家們會到哪些網站留個資時,不料,他們對於線上購物都十分保守。有專家表示,與其去看那家最安全、對資料保護最完善,不如看這家對資料外洩的後續是怎麼處理來得重要,像PayEasy對資料外洩的第一時間即會通知,比較負責。最重要的是,要讓所有業者都能好好保護你我個資,也要靠消費者共同形成的力量來監督、要求。
個資如何留
資安專家透漏秘訣,在不同購物網站加入會員留資料時可以動一點手腳,例如把送貨地址做不同標示,例如XX路10號2樓201室或202室,商品一定都能送達,而自己也能識別是在哪家留的資料。又如,不要留真名,在不同網站所留的姓名最後一個字都不同,例如在Yahoo就是王小虎,在PChome就是王小家,這樣將來若接到詐騙電話就知道是哪家購物網站出問題。
|