又傳資料外洩　誠品6000筆會員資料遭竊

誠品網路書店傳出6000筆會員資料外洩，雖然已在第一時間交由警方處理，不過誠品至今也無法交代資料外洩的原因為何。目前為止補救的做法只有在網站上做出公告，及以簡訊通知會員，今天已經有兩名受害者向警方報案。

誠品網路書店透過公關表示，從本周二（2/19）晚上開始接到會員投訴電話表示接到詐騙電話，周三（2/20）就已向警方報案，目前預估約有6000多筆會員資料外流。接到詐騙電話的民眾都是在去年（2007）12月時消費，並採用超商取貨方式的會員。

誠品澄清，已經檢查過自家網站安全，並沒有發現任何漏洞，因此目前還在追查資料從其他環節流出的可能性。事件發生的第一時間，誠品已經更新了系統密碼設定，並在網站做出公告，提醒會員不要到ATM前轉帳，另外也發簡訊通知會員。

網路平台傳出資料外洩事件已經不是頭一遭，從去年下半年開始，包括Yahoo!奇摩拍賣、博客來網路書店、金石堂網路書店、購物網站PayEasy都陸續傳出類似事件。根據刑事局165反詐騙專線的統計，每週平均接到的詐騙通報電話高達700至800件。

刑事局犯罪預防科警務正常金蘭表示，今天已經接到兩名誠品會員報案，表示遭到詐騙，金額分別是3萬元和7萬以上。他指出，此次的事件看來也是歹徒利用其他地方取得的資料來測試密碼，例如利用從金石堂取得的密碼不斷嘗試，也就是所謂「資料拼圖」的手法。

而誠品目前除了更改系統密碼外，只有在網站公告和以簡訊告知會員。常金蘭認為，這樣的危機處理還有待加強。他舉出去年12月有5000多組會員帳號遭竊的PayEasy為例，PayEasy在第一時間就將可能受害的會員停權，並希望使用者變更密碼，並動員全公司人力以電話個別通知會員。他認為會員不一定會上網站看到公告，發送簡訊也不夠直接，因此沒有被通知到的會員還是有可能會被騙。

賽門鐵克技術顧問王碩麒則指出，除非誠品是遭到駭客入侵，變更系統密碼才有用，若是遭木馬或後門程式入侵，那變更密碼也於事無補。他建議企業在防禦措施上應建置主機型入侵偵測防護（HIPS），可避免遭到上述方式的攻擊。不過也有可能是透過內部管道的資料外洩，就必須部署資料遺失防護（DLP）系統，機密資料就不會在存取時遭有心人士外洩。