微風90萬客戶個資遭駭 放駭客論壇兜售
微風系統更新 要會員改密碼
據了解,微風日前收到匿名網路勒索信件,信中揚言若不付「贖金」,就會公開資料庫,微風並未妥協,也在二月十五日發出公告,表示因系統更新作業,會員點數活動全數暫停,並以簡訊通知會員,因應系統升級修改密碼。
而在駭客論壇BreachForums隨即有人聲稱竊得微風百貨的內部資料,其中包括所有的業務資料、公司及供應商的資料、九十萬用戶個資、發票、訂單、付款資料,以及卅個專案的原始碼,總共超過一五○GB,駭客還強調個資含會員帳號密碼,讓曾在微風消費的民眾擔憂個資全都露。
企業罰款 與詐騙金額不相稱
刑事局證實,微風集團十五日向警方報案,目前由刑事局偵九大隊偵辦調查。一名負責國內資安警官指出,民眾因為資料外洩,被詐團騙錢,每次加總至少是數千萬元損失,但企業卻只罰款數十萬元,責任明顯不相稱;若將來對企業罰款力道高於企業對資安的資源投入,將能逼使企業重視資安問題。
調查局指出,這幾年政府對資安防護工作一直在精進,除內政部在二○一八年的存留資料在暗網販售,近年市面上幾乎沒看到有新的大宗個資外洩;暗網丟出來的個資多半是早年的舊資料,早已沒有「保鮮期」。
個資聯防通報啟動 IP不在台
據了解,微風在被勒索後,隨即向數位發展部報備,但數位部回應會去找駭客IP位址,但目前得知IP位址不在台灣,要追查恐有困難,僅能要求企業做好資安防護。
數位部官員說,行政院個資聯防通報機制已啟動,國發會向微風的主管機關經濟部了解中,數位部也同步收到通報,會配合經濟部進行後續處理程序。經濟部官員表示,因為不是資安專業,主要負責通報、約定行政協助時間,由商業司和數位部技術人員一起到現場找問題。
資料庫被打包帶走 業界熱議
微風則表示,第一時間立即啟動損害機制,內部資安團隊已完成軟體以及作業系統安全性更新,同時提高資安防護層,呼籲共同打擊不法行為並會全力配合警方偵辦調查。此外,經內部清查確認,外流個資與公司資料庫有所落差,駭客未必是從微風駭入,但提醒會員定期修改密碼,以保障個資安全,也勿將密碼等資料交付他人,避免遭不當利用。
不過,微風這次是整個資料庫被人「打包帶走」,也讓業界議論紛紛。遠東SOGO表示,過去內部沒有發生過這種事情,SOGO把資安放在最重要的管理順序,所有個資都加密處理,存取權限完整控制嚴加稽核。
也有業內人士說,對於零售業而言,消費者資料絕對是最重要的,否則對商譽是沉重的打擊,且若有消費者對於百貨資安產生疑慮,不願加入會員或留下資料,業者要掌握消費數據精準行銷就更為困難。
