國內銀行業爆發重大個資外洩事件,中國信託網站的繳費中心可以查詢大筆的用戶連絡資料、甚至信用卡號,透過Google搜尋也能找到這些相關資料。對此,中國信託表示,網站異常問題已修復並著手進行調查。

本週一晚間有人在PPT上揭露,一名房仲業者透過Google搜尋找到的資料撥打電話給該位網友,網友追查自己個資外洩來源意外發現來自中國信託網站,並提供一個連向中國信託繳費中心的連結。

該連結從網站繳費項目下拉選單中就能輕易瀏覽及查詢其他用戶的代繳資料,重灌狂人並寫一篇文章表示,裡面有一堆姓名、電話號碼、手機號碼、身分證號碼、信用卡卡號、人壽保險號碼、交通違規罰款編號、車主身分證字號、出生年月日…等重要的個人資料與各種資訊。「估計有五萬七千多筆,這些資料完全不用登入網站就可以看得到。」重灌狂人表示。

網站外洩用戶資料的消息在網路上傳開後,中國信託今日發出正式聲明指出,昨晚9點多接獲用戶反映,晚間10點已先關閉網站的繳費中心功能,今天凌晨已修復繳費中心正常功能,網路銀行交易功能並未受影響。

至於為何網站會發生個資外洩,中國信託將繳費中心帳號設定功能界定為異常,不排除有心人士破壞,正進一步追查中,並向警方備案,中國信託強調已加強監控、追踨以防止類似事件再次發生,另外也委託鑑識單位協助調查。

對於這起個資外洩可能受影響的用戶,中國信託將聯絡用戶作說明,對於究竟是內部疏失還是人為惡意破壞,該公司對事件發生的詳細原因不願多作說明,再三強調正進行調查。

此外,這些資料只要掌控一些關鍵字也可以從Google搜尋得到,從Google搜尋結果紀錄來看,搜尋到的用戶姓名、市內電話號碼顯示這些資料已在網路上揭露多天,較早的紀錄顯示6天前,顯然中國信託網站外洩資料應該已有好幾天,直到網友向中國信託反映,銀行業者才得到消息。

儘管中國信託內部仍在調查中,但若是內部的疏失,聖藍科技研發技術長王建興認為,事件可能導因於資料庫程式設計的問題,導致查詢資料條件過於寬鬆,使用者能查詢到的資料遠多於其權限所賦予的。此外,他也認為系統上線前的測試環節不夠嚴謹,案例不夠完備,導致連最容易發生的狀況都沒有檢查到。

王建興表示,雖然漏洞是因程式設計人員設計差錯,但是系統開發流程應要確保所有差錯在上線前,都已被偵測及修正,何況這是個相當明顯的失誤,只要妥善制定好開發流程,應該不難發現這個問題。


用戶反映不一

依Google上所搜尋到的用戶資料,記者確實找到當事人。對於電話在網路上被公開,用戶反映不一。一位用戶的家屬受訪認為,先前曾透過銀行代繳中華電信電話帳單,網路外洩資料若只有家中電話,沒有信用卡、身份證等更敏感個資的話影響較小,畢竟平時已接獲許多行銷電話、詐騙電話,顯然家中電話已外流。

但從事法務工作的另一位用戶家屬則對業者外流資料感到生氣,他表示會先以電話客訴確認流出的資料,目前新版個資法已經實行,企業未善盡用戶個資保管責任不排除依法主張權利。

依去年開始實行的新版個資法,提高企業對個資的保護責任,企業發生個資外洩事件需提供相關資料、紀錄,以說明內部確實提供完善保護用戶資料,發生外洩資料事件,每人每件依法可求償500到2萬元不等金額,最高求償金額為2億元。


Advertisement

更多 iThome相關內容