東森購物個資外洩 疑似內部流出

根據蘋果日報報導的阿哲版外洩個資，外洩資料包含客戶姓名、聯絡電話地址、採購品項、信用卡詳細卡號、有效截止月年及發卡銀行等，資料詳細到應為內部外流的個人資料。

根據今年6月11日蘋果日報報導，驚傳東森購物有大筆個人資料外洩，並有名叫「阿哲」的人，在網路上釋出8,000筆「示範用」東森購物客戶交易資料。對此，受理報案的刑事警察局偵一隊已經要求東森購物，必須先清查有哪些資料庫的資料遭到外洩再行分案。而東森購物則表示，經過股權和經營權轉換，新的經營團隊概括承受原有東森購物的權利義務，並積極強化相關的客戶資料隱私確保作為，預計年底取得ISO 27001資安認證。

阿哲版外洩個資是拼湊不同資料庫資料而成
本刊循線在網路上取得的蘋果日報報導阿哲所釋出的、示範用的4千筆個人資料，可以看出這份2008年11月7日的東森購物的客戶資料相當完整，包含購買客戶完整姓名、聯絡電話、寄送地址、購物品項、分期期數、完整的信用卡號碼、發卡銀行及有效截止月年。從這份資料的完整性，可以確認該份資料並不是所謂駭客入侵或者植入木馬程式取得的個人資料，應該是從東森購物內部外流的客戶資料。

東森購物在2008年曾經出現股權和經營權轉換事宜，但東森購物強調，股權移轉及經營團隊變更，並未改變東森購物的法人主體，因此不影響東森購物會員的權利義務。也就是新的經營團隊，會完全承接舊東森購物相關的權利與義務。

此次東森購物在得知有客戶資料外洩，並有示範檔案在網路上流傳時，已於6月10日向刑事警察局偵一隊報案。刑事警察局偵一隊組長邱紹洲表示，在接獲東森購物報案後，刑事局在第一時間也出面協助東森購物移除網路上能夠取得示範個資網路連結。在6月11日上午稍晚，已無法透過關鍵字取得該份示範個資。

從阿哲版東森外洩個資可以發現，該份資料是整併多個東森購物內部資料庫所彙整的資料。據熟知內情人士指出，東森購物記載卡號的資料庫，與客戶訂購品項的資料庫是分開的，但從阿哲版示範個資的內容比對發現，購買品項與信用卡資料已經過「阿哲」做資料整併。該知情人士表示，比對這分外洩的個人資料就會發現一些錯誤，例如有許多客戶購買品項與日期、甚至是個人資料、信用卡資料等，都出現移花接木現象。

這份外洩個資發生資料整併錯誤的原因並不清楚，但為了釐清案情，邱紹洲表示，刑事局也已經要求東森購物必須從該外洩個資的內容上，儘速清查是彙整那幾份資料庫的相關資料。

東森購物資安防護措施上線後，有效防堵不明流量
根據知情人士指出，東森購物在新的經營團隊進駐後，積極提升客戶資料的安全性，並完整保留許多重要的Log檔（登錄檔）做分析。該知情人士表示，新經營團隊為了清查並釐清東森購物系統既有漏洞，曾聘請8、9家顧問公司協助調查，在確認系統漏洞後，相關預防措施也隨即上線。

該知情人士表示，東森購物新的經營團隊花了將近半年時間，才完成既有系統漏洞清查，相關的因應措施上線後，網路異常流量瞬間下降，除了有詳細的Log檔留存外，也證明該預防措施的確有效防堵不明流量。

他指出，由於東森購物相關的因應措施在2008年11月下旬才順利上線，根據媒體報導阿哲指稱其擁有「東森購物今年1～5月客戶完整個資」，如何確認阿哲是否真的擁有今年1～5月客戶完整個資，將會是東森購物確認相關資安防範措施是否有效的重要關鍵。

東森購物在接受iThome電腦報周刊書面訪問時表示，新的經營團隊從顯性和隱性成本的投資去確保客戶的資訊安全。東森購物表示，所謂的顯性成本就是斥資採購各種資訊安全的軟、硬體設備。而隱性成本雖然難估算，但東森購物表示，客服人員在接通電話時，為了要確保客戶資料的正確性，必須延長與客戶的通話時間，這是新的經營團隊為了確保客戶資料安全性所支付的隱性成本。

東森購物表示，在電視購物分秒必爭的前提下，平均通話時間越短，越能服務多名客戶。但因為東森購物新經營團隊，將客戶的聯絡電話資料視為極高風險資訊，為了保護客戶資料的安全性，東森購物進行流程調整，第一線客服人員無法直接從系統中看到客戶聯絡資訊，連帶使得客服人員平均通話時間比以往高出數秒。

東森購物強調，目前同仁都依據「Need to Know」原則進行嚴格的權限審核，做相關系統的權限控管。另外，在使用者介面端，所有信用卡號均按照信用卡公司相關規範，進行前6後4的遮碼作業，而且，信用卡背面末三碼的授權碼，絕對不會以任何形式儲存於東森購物的系統中，且系統內的信用卡號，均已經過加密演算，並以亂碼形式儲存。

東森購物目前正在導入ISO 27001
東森購物在官方網站上以新聞稿形式表示「東森購物率先申請ISO 27001國際資安標準認證」，但實際上，東森購物目前還正在進行ISMS資訊安全管理體系導入計畫，預計2009年底前通過ISO 27001資安認證。東森購物表示，協助東森購物進行ISMS導入的輔導公司為勤業眾信會計師事務所。

一般而言，進行ISMS導入工作通常會有幾個階段，第一步就是現況差異分析，第二步則是針對業務活動主要資訊流程、資訊資產等，進行風險評估（RA），接下來才是進行控制變項的強化，並落實PDCA的循環流程。東森購物強調，為了架構更安全的虛擬購物IT平臺，目前ISMS的導入已經進行到風險評估階段，並將定義為高風險的各種資訊資產，投入大量資源進行保護。

邱紹洲表示，偵一隊受理東森購物的報案後，民眾對於個人資料是否在該份外洩資料名單中存疑，民眾可以主動撥打165防詐騙專線，刑事警察局犯罪預防科同仁將代為查詢民眾個人資料是否已經外洩。

沒通過「個人資料保護法」，民眾難向企業求償
刑事警察局犯罪預防科警務正常金蘭表示，此次東森購物外洩的個資，因為新版的個人資料保護法還在立法院審查中，缺乏法律規範，民眾無法向相關企業進行民事求償。她也希望，透過此次媒體報導個資外洩事件後，也能加速立法院對於個人資料保護法的立法程序。

常金蘭長期觀察各種虛擬平臺的詐騙和個資外洩事件，她表示，從2008年底東森購物進行大幅改組後，從人事面、電腦系統面找出關鍵問題並加以解決後，從165統計資料來看，今年開始，東森購物相關的受騙事件已經大幅減少，反倒是其他虛擬通路業者詐騙事件的比例逐漸增加，業者應更加小心客戶資料的安全保護。

「確保客戶資料安全是各種購物平臺業者，義無反顧的責任，」常金蘭表示，Payeasy面對客戶個人資料外洩，第一時間立即對媒體公布相關事件、並追蹤曾被試圖登入、變更的會員帳號、密碼，進行點對點的通知，讓相關的詐騙集團無法詐騙得逞的作為，將是臺灣其他業者應該效法學習的作為。文⊙黃彥棻



看大圖