刑事局分析過去查緝資料發現,曾有無良系統商靠「轉賣」民眾個資賺大錢,例如某平台是由某位工程師設計,當工程師因故離職時,因對公司有怨恨,直接從他以前設計的帳號、密碼進入平台,把所有資料撈走後,再轉賣給詐騙集團謀利,這種方式完全找不出入侵點,偵查相當困難。
【個資外洩電商揹黑鍋2】盼ERP系統商潔身自愛 別當資安老鼠屎
針對電商委託的ERP系統商強調,平台交易消費者的個資有加密處理,但駭客仍可能攻破破解,刑事局認為系統商只要留有民眾個資,「就可能發生問題」,有的系統商甚至沒做手機身份認證,「擺明大開漏洞給駭客偷」。過去警方只公布電商名稱「根本沒效果」,因為幕後操刀、設計訂單系統的系統商根本不怕,自認可以永遠躲在幕後、永遠沒責任、永遠不會被發現。
另外,警方也曾查獲某案例,資安公司老闆因公司營運不佳快倒閉了,竟把主機內的個資轉賣給詐騙集團謀利,「把無辜消費者個資當做私人財產買賣」,行徑惡劣。
刑事局分析,以機率而言,若只是單一一家電商業者系統被駭,有可能是資安設計無心出錯產生的漏洞所致;但若是同一時間有多家電商業者,在同一系統商平台被盜個資,相信這是「故意開後門漏洞」的嫌疑較大,未來警方將加強這方面的查緝力道,甚至不排除申請搜索票,調查這些系統商的後台主機。
刑事局指出,少數系統商抱持著「賭」、「抗議到底」心態,打死不認自己有疏失,甚至也不願更換電腦設備,也不轉換心態,總想以「僥倖」心態躲過司法追查。如今年3月到8月間,「博克來網路商店」發生個資外洩事件,當時有3千多筆個資外洩,導致消費者被騙損失財物,所幸補正漏洞後,已未再發生資安事件。
不過,警方目前也採取較寬容態度,認為這些系統商應該是被入侵的受害者,但希望業者改善系統安全性,一旦系統商建置的網站資料庫「太容易」被駭客打穿,資料就馬上被駭客撈走。這些個資對電腦而言,就算有幾十萬、幾百萬筆,但它「就只是一個檔案」,猶如從電腦中拷貝一個檔案,就是這麼簡單!
本新聞文字、照片、影片專供鏡週刊會員閱覽,未經鏡週刊授權,任何媒體、社群網站、論壇等均不得引用、改寫、轉貼,以免訟累。