XCOM Global行動Wi-Fi租借公司10萬日本客戶信用卡資料外洩

專門針對出差、旅遊人士提供行動Wi-Fi路由器租借服務的XCOM Global，在週一（5/27）承認因伺服器遭非法存取，約有10萬日本客戶信用卡資料外洩。

該公司保存客戶資料的伺服器在4月23日遭到資料隱碼（SQL Injection）攻擊，估計14 6,701份客戶信用卡資料中有10 9, 112份被竊，包含信用卡持有人姓名、卡號、卡片有效期限、安全碼、申辦者住址等檔案都在未加密狀態下流出，範圍涵蓋2011年3月7日～2013年4月23日以線上信用卡申租行動Wi-Fi路由器的日本客戶。

事發後XCOM Global第一時間報警，將遭受攻擊的伺服器信用卡資料全數刪除、知會網路交易代行公司與發卡銀行監控這些信用卡有無異常消費情形，並停用信用卡申租流程，請客戶使用銀行匯款或直接到機場櫃檯申租。5月2日則進行伺服器資安防護升級、系統漏洞檢測，將所有可存取伺服器的ID與密碼全部更換。

其中最大的改變是，往後XCOM Global不再儲存客戶信用卡資料，未來若重啟信用卡線上交易，也會與具有PCI DSS資安標準的網路交易代行公司合作，引進連結至代行公司的交易系統，只保存將器材寄送給客戶的資料，如姓名、住址、電話等。

XCOM Global花了將近一個月的時間進行調查，至今仍無法找到攻擊來源，也無法確切掌握信用卡有無被盜刷的情形，而且沒有第一時間知會客戶或發布新聞稿，只以經營考量簡單帶過。推測應是想避免4月底至5月初日本黃金週出國旅遊旺季業績受影響。另外，XCOM Global台灣分公司日商英達通訊對此表示，台灣客戶資料伺服器與日本客戶資料伺服器是完全分開的，不受此次攻擊影響。

針對信用卡個資外洩的客戶，XCOM Global分別以電子郵件、實體郵件表達歉意，並說明事情來龍去脈，同時配發3000日圓的申租折價券。社長西村誠司也決定未來3個月自行減薪30%以示負責。（編譯/張嵐霆）