線上購物網站出了什麼問題

從去年年中開始，許多線上購物網站的消費者都相繼收到詐騙電話，而且這些詐騙集團竟然說得出確切的交易記錄，正當大家懷疑，是否只是特定的業者不慎洩露用戶資料的同時，線上購物網站洩露個人資料的事件逐一爆發，許多知名的線上購物網站都一一名列刑事警察局的防詐騙警示公報。不論是真的淪陷，還是僅被波及，幾乎所有大型線上購物網站都被詐騙集團鎖定了，捲入了這場風暴。

到底線上購物網站的安全出了什麼問題？為何會員資料外洩事件頻傳？是線上購物網站沒做好安全管理？還是現今詐騙集團太厲害了？到底哪個環節出了問題？還有哪些關鍵之處會發生狀況？這些若未妥切釐清，網路詐騙事件就會不斷發生，最終將擊垮線上購物的消費信心。帶著這些疑問，我們深入訪談、調查臺灣線上購物網站的安全問題，在本期的封面故事──「線上購物網站的安全到底出了什麼問題？」將有全盤的報導與分析。

「電子商務網站的資安問題，錯綜複雜，」長期觀察臺灣網路安全的中華電信資安辦公室資安技術研發組組長李倫銓說：「不論網站或使用者都有可能出問題。」他的觀察，點出了目前臺灣線上購物網站所面臨的問題。所有人要共同面對的，是用盡各種辦法要騙錢的詐騙集團，但是整個電子商務系統，從消費者端的電腦，到線上購物網站業者所經營的交易系統，甚至是關連的系統──消費者的網路信箱，全都是會出問題的環節，而這些並不見得是線上購物網站業者所能完全掌控的。就是這樣的局面，使狀況顯得相當複雜，線上購物業者需要更謹慎地面對這個問題。

線上購物網站個資外洩事件的幾個原因，像是網站應用程式不夠安全，或是人員控管疏失，只要業者有心解決問題，藉助資安顧問及相關防禦產品的協助，重新檢視軟體開發流程及作業流程等措施，都能達到一定的功效。但是，比較困難的是，怎麼把消費者端也一併納入防護圈，因為消費者的電腦也是會出問題的環節。

由於一般人都會使用同一組帳號及密碼，於是詐騙集團用了更聰明的手法，他們不去入侵線上購物網站了，因為交易網站都有一定的安全防禦措施，直接入侵得花費不少工夫，倒不如去入侵疏於防護的網站，以竊取個人帳號密碼為目的，先搜集夠多的帳號、密碼，再用這些資料去登入各個購物網站，只要消費者是使用同一組帳號、密碼，詐騙集團就能光明正大地登入會員中心，取得消費記錄等個人資料。例如本期新聞所報導的，駭客趁著網友下載陳冠希私密照而植入惡意程式，藉此竊取使用者的帳號、密碼，即是如此。

事實上，購物網站PayEasy在去年12月就面臨這個問題。中國的詐騙集團以一份帳號名單大量比對登入會員，即使他們的會員可能使用同一組帳號密碼，但線上購物網站還是必須立即防止資料外洩的發生。所幸，他們的安全管理夠徹底，加上危機處理得當，因此得以確保會員零詐騙的記錄。我們將帶你深入現場，看他們怎麼做到的。

這個事件突顯了線上購物網站最難解決的困境。想解決這個困境，線上購物業者、安全防謢廠商、政府主管機關之間，要建立聯防機制，才能迅速整合情報，共同對抗詐騙集團。