09年IT頭條｜網路購物標錯價事件頻起

細數2009年度最熱門的新聞事件中，戴爾（Dell）和特力和樂（Hola）商品標錯價事件，除了被消基會點名10大消費新聞第七名外，這也是臺灣電子商務業界最嚴重的標錯價事件。

這兩起標錯價事件，造成的不只是業者營收的損失，更是企業商譽和消費者信任感的保衛戰。要如何從這樣的事件學得教訓，也成為臺灣電子商務業者的重要課題。

戴爾的標錯價事件，把一臺8千元的液晶螢幕標價為999元，引發網友瘋狂下標，甚至有店家一次下標500臺液晶螢幕。事隔不到2周，戴爾網站又再度出包，6萬元的高價商務筆記型電腦，只要換個不同顏色的款式，價格就變為1萬8千多元，同樣引發網友搶標。

在此同時，戴爾在其他國家的電子商務網站，包括美國、香港等地的網站，也陸續發生商品標錯價的出包事件。事後戴爾對外表示，第一次的出包是人為疏失，標錯價格所致；但第二次的出包則是系統流程出問題，連帶不少國家的戴爾網站也同時出包。因此，臺灣戴爾網站也緊急關站。

電子商務網站商品標錯價不稀奇，網友貪小便宜也只是人性血淋淋的展現。

無獨有偶，臺灣家具用品連鎖店特力和樂的電子商務網站，出現將定價1,000元的禮券標價成為0元的錯誤標價，同樣引發網友瘋狂下標。其中，更有一位具備資料庫背景的網友，分成2次下標，共下標64億張0元禮券。若出貨，至少損失6.4兆元，遠遠超過該公司的資本額。

即便臺北市消保官對戴爾公司標錯價事件，首度開罰100萬元，但問題在於，多數人迄今依舊不知道戴爾和Hola網站真正出包的原因，而臺灣其他的電子商務網站的業者，是否也能從這樣的事件中得到教訓呢？

戴爾電子商務網站性質較為特殊，不論是一般的消費者、企業用戶，或者是上下游供應商，都採用同樣的一套平臺下單訂貨，也因此，才會出現高達幾億元的訂購金額，網站依舊可以接受、沒有示警的現象。同樣的現象也發生在Hola網站，結帳頁面可以更改訂購數量，同樣沒有任何檢查或示警，就可以完成結帳動作。

美國白帽安全（WhiteHat Security）公司創辦人Jeremiah Grossman在2007年來臺演說時指出，該公司掃描將近1,000個網站，有將近9成網站，都具有商業邏輯流程的技術弱點。

他表示，這些商業邏輯漏洞都不見得是網站設計時，因為設計不良導致的程式漏洞，經常是與商業流程相關而導致的錯誤，目前很難用工具偵測出來，同樣也很難防禦。

就像是，Hola的網站在結帳時，數量還可以做修改，這不是因為SQL Injection或者是XSS的漏洞，讓駭客可以入侵資料庫改資料，而是系統開發過程中，結帳流程沒有做好嚴謹的檢核機制，造成有心人士有機可趁。

戴爾網站或許因為B2B和B2C共用同樣的電子商務平臺，加上該網站就算線上下單成功，仍須後續收到訂貨單確認後，才表示訂購成功，也造成該網站在價格、數量的示警上，付之闕如。而戴爾網站的系統在同時間承受大量訂單當下，網站流量承載能力雖然足以支撐，卻無法對此一爆量的流量作示警、監控，缺乏專人負責和預警的流程，也讓戴爾面對商務網站的「標價錯誤」，無法立即做有效的回應。

為什麼會出現人為的標價錯誤？價格上架前，為什麼沒有檢核機制？為什麼結帳時，消費者還可以自行更改數量？為什麼沒有結帳金額異常的示警？這一切為什麼，其實都可以歸因於電子商務業者對相關商業流程要求不夠嚴謹，導致商業邏輯漏洞產生。

對多數的電子商務業者而言，網站開了就能營業賺錢，從資訊安全的角度來看，業者的精力都在用來防範外來力量的入侵，反而忽略檢視商業流程是否有疏漏。

從2009年戴爾和Hola的事件，藉由媒體傳播鬧的轟轟烈烈，但這種情況，或許只是電子商務業者營運問題上的冰山一角。為了確保商譽，保障消費者的權益，各個電子商務業者都應該針對每一個商業流程，進行嚴謹的流程稽核，真正做到事先預警、事後稽核。商業邏輯漏洞會不會造成損失，相關業者若心存僥倖，戴爾和Hola事件已經是最好的例證。

相關報導請參考「回顧2009：2009十大IT新聞」