花旗集團的資安管理顯然需要好好整頓一翻,8月初,日本與台灣分別傳出不同的資安事件。
根據外電報導,花旗集團發佈聲明指出,日本花旗信用卡分公司(CCJ, Citi Cards Japan)有9萬名客戶的個人資料失竊、並遭到違法出售,外洩資料有帳戶號碼、名字、地址與出生年月日,但不包括PIN碼或安全密碼。CCJ強調已通知被害客戶,而這些被竊的信用卡帳戶,目前尚未出現不尋常或可疑的交易行為。
至於台灣花旗銀行,則是爆發持卡人收到錯誤電子帳單的烏龍事件。部份花旗信用卡持卡人在網路上反應,最近收到一份內容相當離譜的電子帳單,繳款金額是123,456,789元(亦即新台幣1億2千多萬元),但繳納日期卻是在2年後(2013年的7月),向客服人員詢問之後,答案是信用卡系統測試出錯,不小心把錯誤帳單發送給部份持卡客戶,不是被盜刷。
再回顧今年6月才發生的北美客戶資料外洩一事,花旗銀行的資安管控措施,及資安事件處理流程,不免讓人感到不滿。以台灣出錯電子帳單一例來說,在系統發出錯誤帳單的當下,花旗銀行就該主動知會當事人,而不是等當事人致電客服人員後再向其解釋,這種在事件處理上的不積極態度,只會換來持卡客戶更大的不滿。
● 花旗集團過往資安事件整理
2011 / 6:駭客入侵花旗信用卡的網路帳戶(Citi Account Online),該處存有持卡人基本資料,包括姓名、帳號、E-mail等,粗估北美地區約有1%(20萬筆)的客戶資料被駭。
2003 / 11:台灣花旗信用卡線上申請系統未鎖定權限,使用者可以走後門,看到其他申請者的個人資料,網站上累計2,200筆客戶資料有外洩之虞。