東森購物個資外洩 疑似內部流出
根據今年6月11日蘋果日報報導,驚傳東森購物有大筆個人資料外洩,並有名叫「阿哲」的人,在網路上釋出8,000筆「示範用」東森購物客戶交易資料。對此,受理報案的刑事警察局偵一隊已經要求東森購物,必須先清查有哪些資料庫的資料遭到外洩再行分案。而東森購物則表示,經過股權和經營權轉換,新的經營團隊概括承受原有東森購物的權利義務,並積極強化相關的客戶資料隱私確保作為,預計年底取得ISO 27001資安認證。
阿哲版外洩個資是拼湊不同資料庫資料而成
本刊循線在網路上取得的蘋果日報報導阿哲所釋出的、示範用的4千筆個人資料,可以看出這份2008年11月7日的東森購物的客戶資料相當完整,包含購買客戶完整姓名、聯絡電話、寄送地址、購物品項、分期期數、完整的信用卡號碼、發卡銀行及有效截止月年。從這份資料的完整性,可以確認該份資料並不是所謂駭客入侵或者植入木馬程式取得的個人資料,應該是從東森購物內部外流的客戶資料。
東森購物在2008年曾經出現股權和經營權轉換事宜,但東森購物強調,股權移轉及經營團隊變更,並未改變東森購物的法人主體,因此不影響東森購物會員的權利義務。也就是新的經營團隊,會完全承接舊東森購物相關的權利與義務。
此次東森購物在得知有客戶資料外洩,並有示範檔案在網路上流傳時,已於6月10日向刑事警察局偵一隊報案。刑事警察局偵一隊組長邱紹洲表示,在接獲東森購物報案後,刑事局在第一時間也出面協助東森購物移除網路上能夠取得示範個資網路連結。在6月11日上午稍晚,已無法透過關鍵字取得該份示範個資。
從阿哲版東森外洩個資可以發現,該份資料是整併多個東森購物內部資料庫所彙整的資料。據熟知內情人士指出,東森購物記載卡號的資料庫,與客戶訂購品項的資料庫是分開的,但從阿哲版示範個資的內容比對發現,購買品項與信用卡資料已經過「阿哲」做資料整併。該知情人士表示,比對這分外洩的個人資料就會發現一些錯誤,例如有許多客戶購買品項與日期、甚至是個人資料、信用卡資料等,都出現移花接木現象。
這份外洩個資發生資料整併錯誤的原因並不清楚,但為了釐清案情,邱紹洲表示,刑事局也已經要求東森購物必須從該外洩個資的內容上,儘速清查是彙整那幾份資料庫的相關資料。
東森購物資安防護措施上線後,有效防堵不明流量
根據知情人士指出,東森購物在新的經營團隊進駐後,積極提升客戶資料的安全性,並完整保留許多重要的Log檔(登錄檔)做分析。該知情人士表示,新經營團隊為了清查並釐清東森購物系統既有漏洞,曾聘請8、9家顧問公司協助調查,在確認系統漏洞後,相關預防措施也隨即上線。
該知情人士表示,東森購物新的經營團隊花了將近半年時間,才完成既有系統漏洞清查,相關的因應措施上線後,網路異常流量瞬間下降,除了有詳細的Log檔留存外,也證明該預防措施的確有效防堵不明流量。
他指出,由於東森購物相關的因應措施在2008年11月下旬才順利上線,根據媒體報導阿哲指稱其擁有「東森購物今年1~5月客戶完整個資」,如何確認阿哲是否真的擁有今年1~5月客戶完整個資,將會是東森購物確認相關資安防範措施是否有效的重要關鍵。
東森購物在接受iThome電腦報周刊書面訪問時表示,新的經營團隊從顯性和隱性成本的投資去確保客戶的資訊安全。東森購物表示,所謂的顯性成本就是斥資採購各種資訊安全的軟、硬體設備。而隱性成本雖然難估算,但東森購物表示,客服人員在接通電話時,為了要確保客戶資料的正確性,必須延長與客戶的通話時間,這是新的經營團隊為了確保客戶資料安全性所支付的隱性成本。
東森購物表示,在電視購物分秒必爭的前提下,平均通話時間越短,越能服務多名客戶。但因為東森購物新經營團隊,將客戶的聯絡電話資料視為極高風險資訊,為了保護客戶資料的安全性,東森購物進行流程調整,第一線客服人員無法直接從系統中看到客戶聯絡資訊,連帶使得客服人員平均通話時間比以往高出數秒。
東森購物強調,目前同仁都依據「Need to Know」原則進行嚴格的權限審核,做相關系統的權限控管。另外,在使用者介面端,所有信用卡號均按照信用卡公司相關規範,進行前6後4的遮碼作業,而且,信用卡背面末三碼的授權碼,絕對不會以任何形式儲存於東森購物的系統中,且系統內的信用卡號,均已經過加密演算,並以亂碼形式儲存。
《詳細內文請見iThome電腦報404期(www.ithome.com.tw),天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》
404期其他精采內容:
.封面故事:明年上市櫃公司財報全面強制採用XBRL格式──財報新變革,XBRL 統一格式
.CIO TALK:CIO要做的不只是解決問題 更重要的是提早發現問題/華泰王子飯店資訊部經理陳秋榮
.焦點新聞:IBM PC委外 要價80萬 企業嫌貴
.IT人甘苦談:教小學生學會寫程式的IT大總管/臺北市民生國小電腦科楊書銘
.產品測試:網路備份儲存伺服器:FalconStor FDS
.產品測試:無線網路交換器:Ruckus ZoneDirector 3025
.產品測試:x86伺服器:HP ProLiant DL385 G5p
.產品測試:無線路由器:SMC SMCWBR14S-NL
.程式人:沒時間讀 UML/OOAD 書之挑讀筆記第18回:分析癱瘓(五)
專案染上分析癱瘓症的十大徵兆/邱郁惠
.iT邦幫忙:海外VPN連回臺灣該如何規畫?/如何限制特定使用者寄信出去的收件人數量?/如何查詢FTP進來的使用者?
阿哲版外洩個資是拼湊不同資料庫資料而成
本刊循線在網路上取得的蘋果日報報導阿哲所釋出的、示範用的4千筆個人資料,可以看出這份2008年11月7日的東森購物的客戶資料相當完整,包含購買客戶完整姓名、聯絡電話、寄送地址、購物品項、分期期數、完整的信用卡號碼、發卡銀行及有效截止月年。從這份資料的完整性,可以確認該份資料並不是所謂駭客入侵或者植入木馬程式取得的個人資料,應該是從東森購物內部外流的客戶資料。
東森購物在2008年曾經出現股權和經營權轉換事宜,但東森購物強調,股權移轉及經營團隊變更,並未改變東森購物的法人主體,因此不影響東森購物會員的權利義務。也就是新的經營團隊,會完全承接舊東森購物相關的權利與義務。
此次東森購物在得知有客戶資料外洩,並有示範檔案在網路上流傳時,已於6月10日向刑事警察局偵一隊報案。刑事警察局偵一隊組長邱紹洲表示,在接獲東森購物報案後,刑事局在第一時間也出面協助東森購物移除網路上能夠取得示範個資網路連結。在6月11日上午稍晚,已無法透過關鍵字取得該份示範個資。
從阿哲版東森外洩個資可以發現,該份資料是整併多個東森購物內部資料庫所彙整的資料。據熟知內情人士指出,東森購物記載卡號的資料庫,與客戶訂購品項的資料庫是分開的,但從阿哲版示範個資的內容比對發現,購買品項與信用卡資料已經過「阿哲」做資料整併。該知情人士表示,比對這分外洩的個人資料就會發現一些錯誤,例如有許多客戶購買品項與日期、甚至是個人資料、信用卡資料等,都出現移花接木現象。
這份外洩個資發生資料整併錯誤的原因並不清楚,但為了釐清案情,邱紹洲表示,刑事局也已經要求東森購物必須從該外洩個資的內容上,儘速清查是彙整那幾份資料庫的相關資料。
東森購物資安防護措施上線後,有效防堵不明流量
根據知情人士指出,東森購物在新的經營團隊進駐後,積極提升客戶資料的安全性,並完整保留許多重要的Log檔(登錄檔)做分析。該知情人士表示,新經營團隊為了清查並釐清東森購物系統既有漏洞,曾聘請8、9家顧問公司協助調查,在確認系統漏洞後,相關預防措施也隨即上線。
該知情人士表示,東森購物新的經營團隊花了將近半年時間,才完成既有系統漏洞清查,相關的因應措施上線後,網路異常流量瞬間下降,除了有詳細的Log檔留存外,也證明該預防措施的確有效防堵不明流量。
他指出,由於東森購物相關的因應措施在2008年11月下旬才順利上線,根據媒體報導阿哲指稱其擁有「東森購物今年1~5月客戶完整個資」,如何確認阿哲是否真的擁有今年1~5月客戶完整個資,將會是東森購物確認相關資安防範措施是否有效的重要關鍵。
東森購物在接受iThome電腦報周刊書面訪問時表示,新的經營團隊從顯性和隱性成本的投資去確保客戶的資訊安全。東森購物表示,所謂的顯性成本就是斥資採購各種資訊安全的軟、硬體設備。而隱性成本雖然難估算,但東森購物表示,客服人員在接通電話時,為了要確保客戶資料的正確性,必須延長與客戶的通話時間,這是新的經營團隊為了確保客戶資料安全性所支付的隱性成本。
東森購物表示,在電視購物分秒必爭的前提下,平均通話時間越短,越能服務多名客戶。但因為東森購物新經營團隊,將客戶的聯絡電話資料視為極高風險資訊,為了保護客戶資料的安全性,東森購物進行流程調整,第一線客服人員無法直接從系統中看到客戶聯絡資訊,連帶使得客服人員平均通話時間比以往高出數秒。
東森購物強調,目前同仁都依據「Need to Know」原則進行嚴格的權限審核,做相關系統的權限控管。另外,在使用者介面端,所有信用卡號均按照信用卡公司相關規範,進行前6後4的遮碼作業,而且,信用卡背面末三碼的授權碼,絕對不會以任何形式儲存於東森購物的系統中,且系統內的信用卡號,均已經過加密演算,並以亂碼形式儲存。
《詳細內文請見iThome電腦報404期(www.ithome.com.tw),天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》
404期其他精采內容:
.封面故事:明年上市櫃公司財報全面強制採用XBRL格式──財報新變革,XBRL 統一格式
.CIO TALK:CIO要做的不只是解決問題 更重要的是提早發現問題/華泰王子飯店資訊部經理陳秋榮
.焦點新聞:IBM PC委外 要價80萬 企業嫌貴
.IT人甘苦談:教小學生學會寫程式的IT大總管/臺北市民生國小電腦科楊書銘
.產品測試:網路備份儲存伺服器:FalconStor FDS
.產品測試:無線網路交換器:Ruckus ZoneDirector 3025
.產品測試:x86伺服器:HP ProLiant DL385 G5p
.產品測試:無線路由器:SMC SMCWBR14S-NL
.程式人:沒時間讀 UML/OOAD 書之挑讀筆記第18回:分析癱瘓(五)
專案染上分析癱瘓症的十大徵兆/邱郁惠
.iT邦幫忙:海外VPN連回臺灣該如何規畫?/如何限制特定使用者寄信出去的收件人數量?/如何查詢FTP進來的使用者?