誠品與金石堂等書店型電商屢列網購高風險平臺，8月另有多達35個愛心協會捐款資料外洩，上百捐款人報案遭騙

近日誠品網路書店客戶個資外洩問題再度浮上檯面，根據東森電視臺的報導，最近誠品網路書店在短短五天內，就有上百會員被騙千萬元，各大媒體也跟進引用內容，但相關報導內容存在著爭議，我們洽詢警方想確認此事真實性，他們表示，被騙千萬應是長期累計金額。但無論如何這類事件相當嚴重，也再次突顯了臺灣電商平臺的資料外洩問題。

事實上，根據165反詐騙每週公布解除分期付款的民眾通報高風險賣場名單，在今年4、5月間，誠品網路書店就屢屢列入，當時許多網友或受害者指出，對方不僅假冒誠品的客服人員，還能清楚說明訂單內容、日期、金額，以及住址等資訊，甚至再搭配假冒的金融機關人員來電，有些民眾更是因此誤信對方而上當，導致遭受ATM解除分期詐騙。對此，我們也聯繫誠品，了解4月就傳出的客戶個資外洩問題，是否發布客戶資料外洩的公告，但他們不願多談。

在8月初首週，誠品網路書局再度被165公布為最嚴重的電商平臺，由於過去警方曾表示，每次詐騙高峰期通常持續2~3個月，這也意味著，近期可能還會有一波假冒誠品客服人員的ATM解除分期詐騙，需要當心。

而在8月17日中午，Whoscall與165全民防騙的臉書粉絲專頁上，也發布宣導貼文，他們表示，偽冒誠品電話的數量飆升，提醒民眾注意。基本上，民眾最該認識的觀念，就是應自行搜尋正確客服電話並去電確認（或打165防詐騙專線求證），以及ATM操作沒有解除分期的功能。

但更要注意的是，今年不只是誠品網路書店資料外洩情況嚴重，金石堂網路書店、Booking.com、HITO本舖，以及小三美日等，同樣面臨客戶資料外洩問題，業者態度值得關注。特別的是，今年8月還有新的網路攻擊趨勢，有35個以上慈善愛心協會，同時遭遇客戶資料外洩問題，且都是委託同一資訊商，因此，近期將可能看到多家愛心慈善協可能發布資料外洩相關情形，例如，第一社會福利基金會已公告捐款系統公司遭駭客入侵。

在8月17日中午，Whoscall臉書粉絲專頁指出近期偽冒誠品電話飆升，提醒民眾要注意詐騙號碼特徵。（圖片來源：擷取自Whoscall臉書粉絲專頁）

另外值得注意的是，過去詐騙集團也曾結合二類電信讓來電號碼的顯示，可以與真實號碼一模一樣，因此民眾應要有相關認知，最好的方式，應自行搜尋正確客服電話再三確認並去電聯繫，以及要知道ATM操作沒有解除分期的功能，就不會被話術所騙。

【最近國內資料外洩問題有兩大值得重視的焦點】根據165反詐騙諮詢專線統計，在110/8/2-110/8/8民眾通報高風險賣場名單中，首先，誠品網路書局與金石堂網路商店又名列前兩名，另一更受關注的是，還有多個愛心協會同時入榜。

常見的受害情境，舉例來說，民眾接到詐騙集團假冒XXX平臺客服人員的詐騙電話，對方誆稱系統異常，導致民眾的訂單有重複下單與扣況的情況，又能說出民眾訂單資料等資訊來取信受騙者，再聲稱將通報銀行協助處理。接下來，就有另名歹徒假冒XXX銀行客服打電話給民眾，謊稱要民眾配合至ATM操作，以取消錯誤的扣款。接下來就有不慎的民眾誤信，聽從歹徒指示操作，被騙走數萬元，甚至持續被這樣騙錢。

第二季誠品網路書店以310件最嚴重，金石堂175件次之

在2021年上半，臺灣有那些電商平臺遭遇客戶資料外洩問題？我們聯繫刑事警察局股長洪國倫，他表示，近年165反詐騙每季公布相關統計數據，警方在接獲大量民眾通報後，由於假冒客服的詐騙者都掌握了客戶個資與訂單明細等資訊，因此也針對這些疑似個資外洩電商，進行相關反詐騙宣導。

從今年上半的概況來看，刑事局受理「解除分期付款詐騙（ATM）」案件，多達1,675件，較去年同期增加255件。

以第一季而言，民眾通報5大高風險賣場，分別是HITO本舖（121件）、GOMAJI（107件）、Booking.com（102件）、DR情趣（95件），以及Check2Check（94件）。

第二季民眾通報5大高風險賣場，分別是誠品網路書店（310件）、金石堂網路書店（175件）、萬年東海模型（147件）、婕洛妮絲計（144件）與 Booking.com（119件）。

綜合來看，以網路書店類型電商平臺的通報量最大，像是：誠品網路書店、金石堂網路書店，都相當嚴重，至於前三年連續列為年度5大高風險賣場的讀冊生活，在該公司董事長去年表明要強化資安後，今年顯然好轉。

洪國倫表示，Booking.com的客戶資料外洩問題在2019年同樣備受關注，後續該業者雖然換過資訊服務商，但今年又連續兩季入榜。

此外，HITO本舖、小三美日、GOMAJI也是近年榜上常客，而萬年東海模型、婕洛妮絲計同樣值得注意，今年新入榜，且通報量不小。因此，其會員也應關注這些業者的資料外洩情形。

此外，自今年初，原本每周統計會揭露各業者民眾通報件數，現改為不公告，只有每季與年度才揭露統計件數。

假冒電商詐騙橫行多年，根據刑事警察局統計，我們可以發現，在2019年與2020年，小三美日與讀冊生活就曾連續兩年名列年度5大高風險網購平臺，而國內大型網購業者在2020年也首次列入年度高風險賣場。

愛心捐款協會也被詐騙集團鎖定，均委託同一資訊系統商，大量捐款人資料遭竊

另一值得關注的攻擊與詐騙趨勢，警方提醒，現在詐騙集團除了針對電商平臺的客戶資料庫攻擊，也會鎖定愛心捐款組織。

洪國倫表示，在7月底、8月初，他們接獲了多起民眾通報，都是對方掌握被害人姓名、電話、捐款金額等資料，並假冒愛心協會名義的詐騙案件，最初通報對象包括台灣樂作創益協會、中華育幼機構兒童關懷協會、弘化同心共濟會、臺灣防盲基金會、中華民國兒童癌症基金會，以及愛盲基金會等。

接下來，出現多起通報的還有育成社會福利基金會、第一社會福利基金會、沐風關懷協會、微客公益行動協會與導盲犬協會，到了8月中旬（至16日止），警方統計，已經多達35家這類的愛心慈善協會發生個資外洩，進而導致民眾遭詐騙，這三周以來，警方已接獲超過120件民眾報案，財損更是超過1600萬元。

其中後續詐騙手法則如出一轍，大多利用ATM解除分期詐騙取財，只不過詐騙話術略有差異。對方以工作人員操作錯誤，導致網路匯款變成分期付款或定期扣款等名義，打電話給捐款民眾，以及謊稱至ATM輸入解除錯誤密碼。

這起事件另一特殊之處，是這些協會都委託同一資訊系統服務商。洪國倫表示，遭入侵的管道有很多種，他舉例，包括對方透過撞庫攻擊取得系統存取權限，以及偽裝客訴信寄送釣魚文件，一旦客服人員點擊暗藏木馬的該文件或連結，之後駭客就能一步步取得受害公司員工的存取權限，竊取客戶個資，再將這些客戶個資往外傳送。

關於上述事件的目前調查進度，刑事局研發科還在與系統商釐清相關資訊，以及進行相關資安檢測。另外，洪國倫指出，誠品網路書店與這些慈善協會並非使用同一系統資訊商，屬不同事件。

在2021年8月初，國內出現慈善愛心協會捐款資料遭竊，搭配ATM解除分期付款詐騙的犯罪手法，行徑非常可惡，值得各界重視。警方指出，網路犯罪者先竊取民眾捐款資料，再假冒捐款協會客服人員，誆稱先前愛心捐款因操作錯誤而誤設成分期付款，遇到這種情形，提醒民眾不要上當。而這些愛心基金會或協會也發布相關訊息，像是第一社會福利基金會，近日在臉書粉絲專頁除了提醒防詐騙，特別的是，他們也提及有社福組織捐款系統公司遭駭客入侵。但有的愛心協會只看到反詐騙的宣導，作法不一。（圖片來源:刑事警察局、擷取自第一社會福利基金會粉專）

配合警方發布反詐騙警語，業者本身卻無公告客戶個資外洩？

為了避免民眾遭受後續的詐騙，警方在接獲通報當下，都會通知業者，需在官方網站進行反詐騙警語，並以電子郵件或簡訊通知會員，並提醒平臺強化資安防護，但這些事件為何持續出現？因為有很多問題一直沒有解決。

除了業者要強化資安，他們也應該重視資安事件公告的發布，讓民眾知道事件調查、影響範圍，以及受影響者該如何因應。

然而，有許多受害電商平臺只發布防詐騙警語，卻未正式發布客戶資料外洩公告。儘管有些民眾看到警示，可能就猜得到該業者可能有客戶資料外洩狀況，但這樣隱晦、間接的資安事件發布方式，是否合理？隨著個資法宣導多年，讓企業準備，現在政府又該如何採取對策？

畢竟，業者只發布防詐騙警示，不一定代表他們真的受害，有可能只是配合政府政策。像是今年過年前夕，出現大規模假冒銀行釣魚簡訊詐騙，由於接連有銀行被假冒，因此警方也呼籲各家銀行先發布警示，因此，對於其他銀行而言，傳達這些資訊並非表示自身已遭假冒，而是先行提醒。

而從法規面向來看，根據個人資料保護法第12條規定，公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

關於個人資料法的求償，之前我們曾報導過2017年EZ訂個資外洩客戶遭騙判決出爐，最終是指出該案業者（富爾特科技公司）應付起7成部分責任，但多數民眾可能往往不知道這可以提告。同時，民眾對業者提出集體訴訟的狀況不興盛，也是導致業者消極、被動應對的原因，過去曾有成功獲得賠償的案例，例如，關於雄獅旅行社資料外洩事件，消基會代受害者們提出集體訴訟，一審雖然敗訴，但到了二審後，此案在2020年7月終於進行調解，該案消費者並獲得賠償金。

在2019年9月，有民眾提告EZ訂個資外洩的二審判決出爐，判決報告中說明業者也應付起7成部分責任。(圖片來源:擷取自司法院法學資料檢索系統)

在2020年7月，消費者文教基金會針對雄獅旅行社客戶資料外洩提起個資受害者團體訴訟案有了結果，該訴訟案最終於台灣高等法院民事庭成立調解，消費者也獲得賠償金。(圖片來源:擷取自消費者文教基金會網站)