微軟印度線上商店(Microsoft Store India)資料外洩衝擊擴大,除了登入帳號與密碼、聯絡E-mail、產品寄送地址外,日前又傳出信用卡帳號也可能被駭客竊走。
由於遭到中國駭客組織Evil Shadow的攻擊,微軟在2月中旬關閉Microsoft Store India,並以E-mail通知使用者更改密碼,當時微軟強調駭客只取得帳密、E-mail、及產品地址,信用卡資料與付款資訊並未遭竊。事隔兩週,微軟於2月底再度發出通知表示,駭客很可能也竊取了信用卡資料,請使用者留意任何未經授權的信用卡交易活動,並通知信用卡公司提高警覺。
此次駭客攻擊突顯出微軟在委外管理上的缺失。Microsoft Store India是微軟委託第三方業者Quasar Media進行維運,由於Quasar Media並未將機敏個資加密存放,駭客才能輕易取得,追根究底來看,Quasar Media沒有做好資安固然有錯,微軟並未將資料加密列為委外稽核管理的項目,也是原因之一,微軟的危機處理能力與效率需要再加強。
企業在事件因應上的疏忽,有可能導致使用者遭受更大損失。此次事件可做為所有網路業者與消費者的警惕,線上交易安全不能稍有懈怠,否則後果不堪設想。