中信金客戶在ptt上揭露該銀行繳費中心發生外洩個資事件,從網路上流傳的網站畫面截圖可以看出,許多客戶包括姓名、手機、室內電話,甚至是信用卡號等資料,全部都遭到Google搜尋引擎的索引,都有個資外洩之虞。

新版個資法正式施行後,近日發生了第一起銀行個資外洩事件。中國信託商業銀行(簡稱中信金)網路銀行網站上的繳費中心網頁出錯,導致大量用戶個資外洩,受駭用戶在PTT網站上揭露個資外洩網站畫面截圖後,引發中信金用戶憂慮與指責。

中信金於5 月14日發布新聞稿證實繳費網頁出錯,但否認有網銀交易資訊外洩。金管會也接獲中信金回報,有33,000名用戶因此故障受影響,但詳細受害災情,中信金仍在調查中。金管會銀行局副局長邱淑貞表示,已要求中信金最遲一周內提出整體事件調查報告給金管會,若發生個資外洩,金管會將視情況予以懲處。

5月13日有一位中信金用戶在PTT抱怨,有房仲業者利用網路上外洩個資進行電話行銷,該用戶詢問房仲得知個資來源是中信金網路銀行繳費系統外洩了個人聯絡資訊。他並釋出了中信金網銀的繳費中心網頁出錯的網頁截圖。

從網路釋出的網站出錯畫面中,可以看到中信金網路銀行繳費中心網頁外洩的個資包括姓名、室內電話、手機、身份證字號及信用卡號資料等。這些資料都被Google搜尋引擎擷取到暫存網頁和索引中。

中信金也於5月14日的新聞稿中表示,接獲客戶通知後,在5月13日晚上10點就已經緊急關閉該繳費中心網頁,並聯繫Google刪除暫存的網頁,不過,5月14日時在Google引擎搜尋結果中,仍可查詢到Google在3天前索引到的部分外洩個資,僅暫存網頁已經刪除。這也意味著中信金至少3天前就已經外洩了這些個資。

中信金書面表示,發生異常的是網路銀行「繳費中心」的常用帳號設定功能,這是專供客戶自行設定繳費項目及代號資料,和其他網路銀行的功能無關,也沒有承認有個資外洩,僅表示將主動通知受駭用戶,並委由鑑識團隊調查。不過,邱淑貞表示,中信金通報金管會時有說明,外洩個資都是使用者自行註記在備註欄中的資料,沒有信用卡卡號。

專家評估中信金系統上線測試欠嚴謹
網站開發專家聖藍科技研發技術長王建興分析出問題的網頁截圖,他推測,中信金這套系統上線前的測試與上線流程出現很大的問題。因為開發與測試流程牽連甚廣,若缺乏一套好的流程制度,相同的問題甚至可能發生在中信金其他網路銀行提供的服務上。

王建興表示,可能是資料庫程式設計出錯,導致查詢資料的條件過於寬鬆,讓使用者能查詢到的資料,遠多於使用者權限所允許的內容。他認為此問題是中信金系統上線前的測試環節不夠嚴謹,測試案例不夠完備所致。

資安專家戴夫寇爾執行長翁浩正表示,臺灣不少擁有大量個資的業者也曾發生過類似的網站個資外洩問題,常見原因正是資料庫查詢條件設定錯誤。今年初就有一家大型企業因使用者權限判斷程式出錯,導致網頁存取資料庫時沒有加上限制條件,造成全站個資完全曝光。

常見資料庫查詢語法錯誤例如只讀取特定用戶指令(uid =123),誤寫成除了特定用戶外的所有資料都開放(uid !=123),或是複合查詢時的邏輯指令錯誤,將AND寫成OR,如WHERE uid =123 AND perm = 'normal'誤寫成WHERE uid = 123 OR perm = 'normal',就會外洩同為normal權限但用戶代號不是123的其他人個資。

雖然此問題可能源自程式設計人員個人疏失,但王建興認為,系統開發流程應要能確保所有差錯都能在上線前被偵測及修正,「何況這是個相當明顯的失誤,只要妥善制定好開發流程,應該不難發現這個問題。」王建興說。

經兆法律事務所律師黃意森表示,由於這起事件情節明顯,除非中信金可以證明已經善盡保管義務,不然受害者可以向中信金要求法定金額範圍內的賠償。預估受害者一旦提出訴訟求償,3.3萬名受害者,中信金可能將面對1,650萬元到最高2億元的賠償金額。文⊙黃彥棻、楊智傑

 

熱門新聞

Advertisement