2007-11-17

從刷卡安全有漏洞 到肺結核個資外洩

◆ 刷卡購物 安全有漏洞

【經濟日報╱編譯陳家齊/綜合十六日電】 2007.11.17

一項對逾3,000家美國與歐洲零售點的調查發現,半數商家出現無線傳輸的安全漏洞,顧客的信用卡資料可輕易被有心人士竊取。

執行調查的無線網路安全業者AirDefense表示,調查到的4,748個無線網路存取點中,25%完全不對資料加密,另外25%則是用可被輕易破解的WEP加密規格。因此,這些店家無線傳輸的資料對駭客而言是唾手可得。

另一半的無線傳輸採用較新較安全的WPA或WPA2加密規格,比較能防止破解。AirDefense還發現,許多店家買來無線網路設備後毫無管理,出廠時預設的管理密碼與帳號都未更動,讓駭客能輕易入侵。

美國折扣零售商TJX今年3月承認信用卡資料大舉外流,資料很可能就是從無線網路漏出,受害銀行估計遭竊1億筆帳號。加拿大調查人員在9月結論認為,TJX未把WEP規格更新成較嚴密的新規格,導致資料外洩。WEP規格老舊,網路上直接就可以下載到破解用的駭客程式。

這項調查耗時六周,AirDefense派人在亞特蘭大、波士頓、芝加哥、洛杉磯、紐約、舊金山、倫敦與巴黎的購物區,暗中擷取無線網路訊號以作測試。

顧能公司分析師列坦說:「科技圈談這個問題很久了,但這是第一次有這麼大規模的調查證實問題的嚴重性。」調查發現,由於店家把愈來愈多的電腦配備連上無線網路,當店家透過無線網路傳輸顧客資料時,信用卡號碼、個人資料就暴露在駭客的威脅中。

信用卡發卡機構對商家的無線網路防護評價沒這麼悲觀,但列坦警告,發卡機構常漏掉其他無線連上資料中心的裝置,或忽略後來新加的無線裝置。威士卡公司(Visa)10月24日時表示,65%的美國商家符合最新的網路保密防竊規格,比去年的36%大為進步。

AirDefense的調查員背著背包,內裝有筆記型電腦與4英吋長的天線,直接走進各店家,截取下載無線網路傳輸的訊號。他們隨後便檢視這些資料內容,檢查是否很容易破解。



◆ 1279結核病患個資 網上曝光

黃天如/台北報導 中國時報 2007.11.17

衛生署疾病管制局(CDC)爆發電腦網路管控不當,致使一二七九名被限制搭機的結核病患者個人資料在網路曝光!民眾在知名網站「Google」(中文版)就可搜尋得到病人資料,從姓名、居住地,乃至身分證號碼、罹病狀況統統一目了然。CDC十六日晚聲明認錯道歉,必要時將國家賠償。

衛生署疾病管制局發言人施文儀十六日深夜十一時發布緊急新聞稿表示,該署除已於第一時間將相關網頁全數撤除,暫停CDC相關查詢服務,還將拉高層級,交衛生署與行政院國家資通安全會報深入調查。

他說,初步調查,全案應屬「系統設計瑕疵」,外加「Google的搜尋引擎太厲害」所造成,至於是否有駭客入侵或木馬程式等因素,有待進一步調查。

「這確實是非常嚴重的事,CDC都要向全國人民道歉!」施文儀表示,他深知全國一千多名被限制搭機結核病患者的私人資料被曝光的嚴重性,因此代表CDC承認錯誤,衍生的法律責任,該局不會逃避。

病人隱私 Google搜尋全都露

目前全國廿五縣市、一二七九名經CDC列管為「痰陽」之開放性結核病患(不得搭乘航程八小時以上班機),包含暫時不得搭機之多重抗藥性(MDR)及超級抗藥性(XDR)患者的姓名全名、設籍縣市及地區、照護院所代號、最近就醫日,甚至連英文字母在內十碼身分證字號…,竟然全都可以透過Google搜尋,攤在全球華人眼底。

有民眾爆料,因為想了解某位人士的詳細資料,因此以這位朋友的名字上中文版Google搜尋,沒想到在一串資料中,竟發現他不僅罹患開放性肺結核、且被限制搭機,而且同筆資料還記載了國內一千多位相同被列管的結核病患資料,讓他傻眼,「這不是病人隱私嗎,為何會發生此情形?」

記者「破解」 官員才知嚴重

記者昨天晚上向疾管局官員求證,但至昨晚九時為止,CDC人員對於該局犯下的大錯仍渾然不知。施文儀一度很肯定地表示:「當事人僅能從CDC首頁,輸入姓名、出生年月日及通知單十碼流水號,得知自己有沒有被限制出境,但也看不到別人的資料!」

待記者逐步告知「破解」步驟:任何人只要自Google首頁輸入任一當事人姓名,即能直接進入兩個時間點的「管理縣市別」連結,全國一二七九名開放性結核病患者名單及詳盡的私人資料,便可一覽無遺,施文儀才說:「這就嚴重了...」

他說,初步瞭解,CDC從上到下,能夠看到這份完整名單的人只有第五組疾病監測小組的組長、承辦人及直屬主管,總計不超過三個人;「共享」此一資料的出入境管理局也只能由特定權限的人,利用機場第一線的電腦才能看得到整份名單,該做的「加密」動作都做了。

疾管局道歉 將嚴懲失職人員

既然如此,錯誤是如何發生的呢?施文儀為之語塞。該如何收拾呢?施文儀說:「查出原因後,該懲處公務員一定要懲處,但也要看其『犯意』及『犯行』有無故意。」同時,依《傳染病防治法》,若有受害當事人提民事求償,該給的國家賠償自然跑不掉。



◆ 誰染肺結核 Google查到上千筆個資

【聯合報╱記者詹建富/台北報導】 2007.11.17

板橋地檢署一名檢察官罹患開放性肺結核,但台北縣衛生局昨天發布新聞稿時,明列病人的年齡、工作地點及居住地,更離譜的是,病人的資料竟然可連上Google搜尋引擎,有上千筆病歷全都露,嚴重暴露病人隱私。

消費者文教基金會董事長程仁宏昨晚獲悉後,也大表驚訝,他說,該會將設立專線,並集體向衛生署請求國家賠償。

據瞭解,被暴露個人資料的患者,估計近一千兩百人,但衛生署疾病管制局則說,本事件共有九百五十三人資料外洩。疾管局副局長施文儀強調,該局已於昨天晚間八點四十五分從網站移除相關資料,並深切向被洩漏隱私的病人致歉,「如果個人隱私受到侵害,或提出國家賠償,疾管局會負責」,今天將公布受理專線。

此一攸關病人資料嚴重外洩的事件起因是,北縣衛生局昨天公布一例開放性肺結核個案,但由於同時暴露該病患是「一名卅歲男性病患,服務於板橋地檢署,平日獨自租屋於土城」,「且板檢內之同辦公室另有四位同仁」,因而造成該名檢察官個人資料被媒體猜到。當媒體上Google網站查詢進一步資料時,赫然發現,網站上竟跳出衛生署針對罹患開放性肺結核應延遲搭機者的名單。

這一長串病患的名單,有病患姓名、身分證字號、居住縣市、是否有多重抗藥性及就醫處所,甚至連負責結核病的照護員名字都有。對此,施文儀說,該局獲知後立即依據行政院資訊安全相關規定,成立緊急因應小組,進行危機處理。

施文儀進一步表示,根據該局資訊人員研判,該筆病患名單可能外洩時間是從本月九日開始,民眾只要透過已知結核病患姓名鍵入搜尋,即可查出。原因可能是系統設計出現瑕疵,以致可連結到Google網站。他說,「是否有駭客或植入木馬程式所造成,仍待查明」,該局也立即將該筆資料自網路移除,並立即聯繫Google移除庫存頁面,關閉伺服器進行檢修。

施文儀說,對於部分名單的外漏,疾管局向當事人慎重道歉,若有當事人因此權益受損,該局將負起責任。另外,本案屬資訊安全事件,該局也已依資訊安全管理程序,向國家資訊通訊安全會報通報應變組,也希望已取得該分資料者,應遵守傳染病防治法及個人隱私保護法相關規定,不得洩漏。

施文儀強調,有關該筆資料「無故外洩」,該局會負起法律及行政責任,至於疾管局是否因此違反傳染病防治法,則由衛署長官裁定。另外,台北縣衛生局是否有連帶責任,衛生署也會查明。



◆ 結核病人個資外洩 官方緊急移除資料

中央社 2007-11-17

(中央社記者陳清芳台北十六日電)又傳網路個人資料外洩事件,九百五十三位名列出境管制名單的結核病人資料,從Google搜尋引擎外洩一週,衛生署疾病管制局晚間經由媒體告知後,緊急移除資料,並將於明天公佈服務專線,受理病患隱私權受損相關申訴。

疾管局副局長施文儀表示,研判自十一月九日迄今 ,有九百五十三名患者姓名、居住縣市等個人資料外漏 ,過去一週,網路使用者只要得知其中任一病患名字, 即可跳過密碼,查詢到其他的病患個人資料。

施文儀說,目前看來很可能是疾管局的病患管理程 式設計瑕疵,導致擁有權限的衛生、防疫、境管人員在 操作查詢功能時,被 Google 搜尋引擎截取名單。是否 有駭客或植入木馬程式所造成,仍待查明。

疾管局在今天晚間八時四十五分緊急將名單自網路移除,並聯繫Google移除庫存頁面,關閉伺服器進行檢修,尋找外漏的原因,判斷資料尚未廣泛流傳。

根據傳染病防治法規定,因業務知悉肺結核等法定 傳染病患者,不得洩漏名單,媒體亦不得侵犯病患隱私,疾管局對此事件除道歉之外,並表示若有當事人權益受損,將負起責任,另陳報國家資通安全會報通報應變組,暫停系統服務,待修補程式弱點且完整嚴密測試後才會再度上線。

※ 從報導來看,這件事管理者沒設定好伺服器的責任會比較大。

英國將推出結核病新疫苗
美 CDC 又錯判結核病
多重抗藥、肺結核患 私搭機赴陸
官僚害人:從泡泡龍到郵寄罰單個資外洩
結核病資料 管理漏洞百出

45.7M 信用卡資料竊案 美史上最大宗
美 TSA 遺失含有 10 萬個人資料的硬碟
台灣販售的全新硬碟 暗藏木馬病毒
美新行業 為客戶上網消除個人資料

Q幣對人民幣造成威脅?
木馬與詐騙惹禍 帳戶還在被凍結
台灣受雇至韓行騙百人入獄
垃圾郵件非法炒股日益增多
天才駭客替黑幫盜資料 代客打仗傭兵年值4兆
暴風雨病蟲反擊安全專家!

60 秒內取得 104 bit WEP 金鑰
Linux 的 Wi-Fi 驅動程式出紕漏
輕點幾下滑鼠就能駭入 Gmail
Java Popups 危險無法擋
Firefox 記憶體使用與記憶體滲漏新聞
多核心 CPU 之攻擊
駭客使用各大網站橫幅廣告綁架你的電腦
駭客攻入美國國家實驗室
「流氓」DNS 的數量持續攀升

研究者完成 25 年來首度「網際網路普查」
網路之父溫瑟夫:行動通訊平台 下波網路浪潮
抱歉,沒有 Gphone,只有「開放手機聯盟」
雷射網路傳輸距離可達 150 萬公里
別將掛掉的 iPod 扔了!網路可以修

6 則留言:

fsj 提到...

2500萬筆! 英搞丟半數國民個資

【聯合報╱編譯莊蕙嘉/綜合二十一日外電報導】 2007.11.22

英國發生有史以來最嚴重的個人資料外洩烏龍,儲存近兩千五百萬筆英國民眾個資的兩張光碟,竟然在郵寄過程中遺失,英國首相布朗為此代表政府在國會向全民道歉。此事影響到英國六千萬人中將近半數人口,擔心自己的銀行資料可能外洩且遭到盜用盜領。

英國稅務及海關總署一名低階公務員上月十八日將這兩張光碟寄給審計單位,卻忘了依照規範以掛號寄出,導致光碟下落不明。經過多日尋找未果,財政大臣達林廿日才向國會坦承此事。

光碟中有英國家庭申請十六歲以下兒童福利補助的資料,包括國民姓名、地址、出生年月日、社會保險號碼和銀行帳戶資料,據信也包括布朗首相一家。

在英國,凡是家有十六歲以下兒童的家庭都可以申請福利補助,每月可領取免稅津貼,目前申請補助的家庭約有七百廿五萬個。

這個尷尬的大烏龍也創了世界紀錄,從來沒有任何一國政府能夠一次讓如此多的國民資料面臨外洩危機。消息曝光後英國民眾大為恐慌,媒體報導,近日內可能有數百萬英國人向銀行查閱帳戶資料或更改提款密碼,以策安全。

布朗在與下議院議員的每周例行「首相午餐會報」中表示:「我對於可能造成申請兒童福利補助的家庭不便,表達深深的遺憾與歉意。」他並向英國人民保證,政府會盡一切努力保護人民的資料不外洩或被盜用。

布朗已要求資訊安全專家進駐政府單位,檢查各部會作業流程。財政大臣達林也下令警方搜尋光碟的下落,他表示目前尚無任何證據顯示光碟落入罪犯手中,也未出現資料遭盜用的跡象。

達林近來才為了主要房貸商北岩銀行(Northern Rock)的擠兌風暴傷腦筋,甚至被批評危機處理能力不足。現在又出了如此大的紕漏,達林的政治前途已岌岌可危。

資訊委員湯瑪斯表示,這個錯誤令人震驚。「這已經不光是法律問題,而是人民對政府失去了信任。試想人民將如此重要的個人資料交到政府手中,結果卻出了這種紕漏。」



◆ 闖禍公務員避風頭 政府花錢

【聯合報╱編譯王先棠╱報導】 2007.11.22

英國公務員違反作業規範,遺失兩千五百萬筆民眾個人資料,英國政府還花納稅人的血汗錢,將這名失職者安置在一家旅館避風頭並派保鑣全天候保護。

英國每日郵報廿一日報導,這名公務員的頂頭上司已申請提前退休,可以領到一筆豐厚的退休金。

為避免所屬員工受到媒體記者與歹徒的打擾,英國稅務海關總署安排這位闖下大禍的低階官員入住旅館,並且派了一個保鑣全天候保護他。

二○○三年,英國政府武器專家凱利疑似洩漏伊拉克武器調查報告給媒體,並在陷入醜聞風暴後自殺身亡。為避免舊事重演,英國政府極力保護這個遺失資料光碟的公務員,要等到英國警方結束調查,這名公務員才會受到懲處。

年薪十九萬英鎊(約台幣一千兩百七十萬元)的英國稅務海關總署署長葛雷已在廿日宣布辭職。每日郵報指出,由於葛雷原本就計畫明年六十歲屆齡退休,雖然提早離職,他的退休金恐怕不會有任何減少,葛雷將享受「愜意的提早退休方案」。

二○○五年,時任英國財相的現任首相布朗合併兩個公家單位,成立了稅務海關總署,一舉裁掉兩萬五千名員工。許多人認為,大裁員使稅務海關總署的工作量不堪負荷,行政效率大幅降低,這次發生資訊安全危機,更凸顯稅務海關總署是個「失控的組織」。

fsj 提到...

購物台洩個資 將修法重罰

自由時報 2007.12.10

〔記者楊國文、邱俊福/台北報導〕「電視購物」及「網路商場」客戶資料外洩所引發的詐騙案,愈來愈多,法務部統計,目前客戶個資外洩最嚴重的是「東森購物台」,除已要求東森解決,法務部也將強力推動延宕兩年的「電腦處理個人資料保護法」(個資法)修法進度,修法重點是擴大個資保護範圍到「所有行業」。

法務部指出,今年九至十一月這短短三個月來,東森購物台客戶因個資外洩遭詐騙,即有八百三十多人,損失金額六千多萬元;警政署反詐騙「一六五」專線也統計出,每週接獲網路或購物詐騙案量約三百五十件,而與東森購物台相關的詐騙案就占三成,東森購物台已成為個資外洩最嚴重的公司。

東森購物客戶 八百多人挨詐

近三個月來與東森購物台相關的八百三十多人被詐案,受害人分佈各縣市,其中一位退休女老師即被騙兩百多萬元,她向東森購物台刷卡購買幾千元的電器,不久接到自稱東森購物台人員來電,來電顯示是0800的免付費電話,對方清楚說出女老師身分證字號及訂購品,表示未收到刷卡款。女老師二度刷卡後,對方仍說未收到,指出應是信用卡失效,向她騙出信用卡號及末三碼密碼。

接著又有自稱發卡銀行人員來電,指她的信用卡被盜用,緊接著自稱金管會人員來電,稱她的戶頭被列警示帳戶,須將存款轉入安全帳號,但弄來弄去,最後女老師存款被盜領一空。

資安管控疏漏 東森撇清責任

鑑於案情嚴重,法務部、行政院消保會、經濟部本月間與東森購物台會商,法務部質疑東森購物台「客戶訂購貨品後,歹徒就打電話詐騙,公司方面沒問題嗎?」行政院消保會也懷疑「申訴人都是東森客戶,顯示內部管理有漏洞!」

與會的東森購物台法務主管則說,無事實證明客戶個資外洩被騙和該公司有關,不排除是貨物派遣公司不慎讓客戶個資外洩,或是其他的管道所致,全案已報警處理。

惟警方初步追查後懷疑,本案並不排除「內部外洩」的可能性。

由於電視購物台等新興行業未納入現行的個資法保護範圍,因此對於類似案件政府機關很難施力,相關官員說,如果個資法修正草案通過立法,今後只要購物台、網路商場發生「一件」個資外洩案,就可對業者罰款「兩萬元」,相信當能藉此力促業者有更大強度的自律及管控。

個資法修正案 卡在立院兩年

據指出,個資法修正草案已進入立院二讀前的朝野協商階段,除國民黨未連署外,其餘政黨已連署支持。

行政院長張俊雄對「電腦處理個人資料保護法」(個資法)修正草案凍結在立院兩年,表示嚴重關切,指示法務部長施茂林本週三赴行政院會專案報告,研擬推動措施,法務部也從今起主動出擊,全力向立法院遊說和說明修法的急迫性。

修法加重刑度 納入所有行業

個資法主要修法內容有二,第一是「擴大適用」,將原本只對「特定行業」適用的舊規,擴大為所有公、民營事業均適用;其次是「加重刑度」,將意圖營利而竊取、洩漏個資等行為,由最高可處兩年徒刑,提高為五年。非法變更、刪除個人資料等行為,也從最高可處三年徒刑之罪,提高為五年。而且此二類犯行,亦由舊法之「告訴乃論」改為公訴罪。

fsj 提到...

MOMO也爆個資外洩 婦被詐財

劉尚昀、潘小莘/綜合報導 中國時報 2007.12.11

繼東森購物台發生個資外洩事件,富邦MOMO台也驚爆個資外洩。高縣仁武鄉一少婦在富邦MOMO台購物後,接獲詐騙電話,被詐騙七萬元。

仁武警分局昨接獲一名卅五歲的蔡姓少婦報案稱,今年十月在富邦MOMO台買一件外套,售價一千三百八十元,採取貨到付款。

蔡婦前天接到一名自稱仁武鄉農會課員的電話,並清楚說出她的購物明細,因簽名位置錯誤,要她到提款機前取消分期付款。蔡女不疑有他,直到匯出七萬元後,才驚覺上當,怒指富邦洩漏資料。

MOMO公關陳昕昨天表示,之前都未接獲客戶有類似的反應,今天將請客服人員調閱資料,若是MOMO台的商品,主管會處理,並與當事人聯絡了解詳情。陳昕表示,台內消費者個人資料保管嚴密,連員工都不可以隨意窺視,不可能是內部洩露個資。

蔡女則向警方表示,她多次在東森與富邦購物台買東西,之前接獲東森詐騙電話都沒有讓歹徒得逞,近日因為憂鬱症發作,服藥後頭昏腦脹,接到詐騙集團電話,聽聞程序錯誤、每月將扣款一千三百八十元,一時慌張,頓失分寸,完全照著歹徒指示行動。

當時歹徒要她到搭計程車到鳳山市自由路的富邦銀行提款機取消分期轉帳,並將帳戶內金額轉到購物台指定帳號,並稱可將來回計程車收據到農會櫃檯請款,隔日扣除款項就會回存到其仁武農會帳戶,結果被騙了七萬元。

警方表示,日前東森購物疑似外洩個資的案例暴增,此案乃首件透過富邦購物的詐騙案。呼籲透過電視購物的民眾,接獲任何自稱「客服」或銀行的電話都不可信,也不要前往銀行聽從指示操作,可撥打165反詐騙專線。

東森購物遭詐欺集團侵入,使消費者被騙案愈演愈烈!花蓮昨天又傳出一名婦人因轉帳被騙五十五萬元;台南縣一位刑警也險些被騙,幸同事及時拉他一把。偵辦東森購物詐騙案的台中警方更表示,目前兩件詐欺案中,平均就有一件與東森購物有關。

fsj 提到...

英國 又有300萬筆個資搞丟

【聯合報╱編譯陳世欽/報導】 2007.12.19

英國政府最近又遺失三百多萬筆貯存在一處美國「安全設施」中的英國駕訓班學員相關資料;英國政府已經承認確有此事。

倫敦泰晤士報十八日報導,之前遺失的二千五百萬筆個資光碟迄未尋獲,英國官員最近又被迫承認另外遺失二○○四年九月至今年四月,全部駕訓班學員的三百多萬筆相關資料。

英國政府準備加重懲處惡意濫用民眾個人資料的不法之徒,違者最重可判處兩年徒刑,而不是現行的處以罰金。英國在野黨十七日對此痛批,質疑英國政府是否有能力管理貯存在電子資料庫內的五千萬名醫療保健病人的資料,追蹤三千三百萬輛車子的每日行蹤,以及能否推出新版身分證。

相關人員今年五月發現,前述駕訓班學員的考試紀錄已自美國愛荷華州愛荷華市「皮爾森駕駛評估中心」的資料貯存設施中離奇失蹤。該設施的一個電腦硬碟記錄這些人的姓名、住址與電話號碼,不含個人財務、保險資料,以及駕照號碼、出生年月日、簽名或考試結果。



◆ 網購洩個資 詐騙跟著來…

【聯合報╱記者游明煌/基隆報導】 2007.12.19

繼東森購物台及博客來網路書店之後,金石堂網路書店及富邦momo購物台也有消費者上了詐騙集團的當。被害人都指出,歹徒知道所有的消費資料才因此上當,客戶資料可能外洩。

基隆市陳姓女子是金石堂網路書店會員,本月初她上網購書,買了一本雜誌、一本書;十日她到超商拿到書並當場付款,完成交易。

她表示,十一日晚上,她接獲自稱是金石堂網路書店員工來電,指公司操作不當,把付款方式設成分期付款,要她趕緊拿金融卡去郵局自動櫃員機依指示操作,即不會扣款。

她一度懷疑有假,但對方能說出她的身分證字號、買書時間、書名等資料,才信以為真。依對方指示操作自動櫃員機後,她發現短少一萬多元,發現被騙,向市警察局刑大偵四隊報案。

黃姓女子也向警方報案,她在本月初向富邦momo購物台買東西,已收貨付款,本月十一日晚上,她接獲自稱是該購物台工作人員,指她先前的現金交易,送貨員拿錯分期付款單給她簽收,要她拿金融卡依指示操作,即可解除設定。黃女也質疑詐騙集團怎會有她的交易資料,害她被騙了一萬多元。

偵四隊長曾弘尚表示,警方先前曾受理多起假冒東森購物台、博客來案件,冒稱momo購物台人員,在基隆是首見。

fsj 提到...

竊個資再詐騙 8購物網站全被駭

吳俊陵/台北報導 中國時報 2007.12.25

國內八家購物和線上遊戲網站平台,最近一再發生交易資料外洩案,駭客疑從大陸福州電信局的IP位址,竊取會員交易資料後,再轉向購物網站會員進行詐騙,導致近月來,包括東森和MOMO兩購物台,已發生約二百件購物網站詐騙案。

據「一六五」公布資料顯示,歹徒以駭客入侵購物網站電腦資料庫,竊取民眾購物後留下的個人資料,再向會員(消費者)詐騙。

「一六五」接獲國內PayEasy購物網站報案,指該公司資料庫在本月九日晚間,遭異常登入,總共攔截到三萬九千多筆來自數個特定IP的帳號、密碼。

歹徒以「資料拼圖」方式,將搜集而來的台灣會員帳號、密碼數十萬組,不斷地以「人工」和「電腦程式」登入方式,測試每一組帳號與密碼可能歸屬的網站。

警方調查,歹徒的IP位址係從中國福州的電信局發出,並且以每三.五秒左右速度,不停地測試會員帳號、密碼。

警方說,當晚PayEasy有十四%的會員資料遭到竊取,預估被害人達五千多人,警方說,駭客已先取得會員帳號密碼資料,現階段鎖定PayEasy等八大購物和線上遊戲網站平台,從中再嘗試獲得其他的帳號密碼資料和交易資料。

警方發現,歹徒盜取網站會員的交易資料後,即謊稱是「客服人員」,先於電話中清楚告知被害人過去購物內容明細,再謊稱因超商店員送貨時,誤將電腦契約選單勾選為「分期付款」,致帳戶內有扣錯款的情況,要求消費者拿金融卡,打背面的廿四小時銀行客服電話,並稱稍後有銀行人員來電,協助辦理「解除分期設定扣款」,可於核對「來電顯示」後,到ATM操作。

而電視購物台詐騙手法,也是透過駭客手法取得消費者購物資料,如身分證字號、購買物品名稱、數量、金額等,利用「竄改來電顯示」,再通知消費者核對交易資料,謊稱因線上刷卡,於購物匯款時,發生系統錯誤,導致「簽收表單錯誤」,系統將按月從帳戶內扣款,須馬上到ATM辦理解除,騙取消費者轉帳上當。



◆ 警:提到ATM轉帳就要留意

吳俊陵/台北報導 中國時報 2007.12.25

「千騙、萬騙、不離ATM」!警方呼籲,詐騙集團透過駭客手法竊取民眾購物資料後,會假冒銀行人員或網購客服人員,要求被害人前往ATM操作,至於傳出遭詐騙集團入侵的PayEasy等購物網站,已經把截取到異常外洩登入五千多筆會員帳號先行停權,逐一通知被害人改密碼。

偵九隊提醒,歹徒的欺騙伎倆再怎麼千變萬化,最後都要把被害人騙到ATM,因此,只要歹徒在電話中談到ATM,或用電話指示轉帳方式,就可能是詐騙集團,千萬要小心。

一名楊小姐月初在某拍賣網站標下一件保暖外套六百八十元,透過郵局ATM轉帳,但衣服一直沒有收到,只收到一封簡訊指出,因轉帳出了問題,要馬上更改轉匯手續,不然會扣錯款項。旋即有一名自稱是郵局人員來電謊稱,她在操作ATM時,按到連續分期扣款,一定要依照指示進行更改,否則每個月都從帳戶扣錢,原本存疑楊小姐,再度確認了手機來電號碼,比對郵局金融卡背面的電話無誤,竟至ATM重新操作轉帳,痛失十六萬元。

警方查出,購物網站詐騙集團作案多會挑選時間,通常在假日以及凌晨時刻,倘若民眾有兩張提款卡,金額超過六萬元,詐騙集團會在晚間十一點四十五分,進行第一次的操作,凌晨過後,會要求民眾再匯第二次款項,避開一日只能領三萬的限制。警方呼籲民眾,購物頻道與網路購物,不會要求消費者更改結帳方式,不會要求民眾操作ATM,若接到類似電話,可撥打165反詐欺專線查證。



◆ 「資料拼圖」 又稱懶人密碼

吳俊陵 中國時報 2007.12.25

詐騙集團利用「資料拼圖」手法猜中民眾的帳號密碼,又稱為「懶人密碼」。警方表示,PayEasy的帳號是以「身分證字號」模式,密碼則是使用者自訂,而從歹徒測試帳號的模式速度,一個帳號最快三秒,最慢六秒之間,推論有可能是人工大量測試,若一個晚上輸入近四萬筆資料的速度,可能有個約百人的組織,有計畫地進行盜竊帳號。

為何歹徒會有消費者的帳號密碼,警方分析,歹徒在掌握了其他網站個人資料後,旋即用「資料拼圖方式」拼湊出正確資料,利用一般人習慣在不同網站,仍用相同帳號密碼的習慣,讓歹徒猜中帳號密碼的機會增高。

※ 詐騙集團會用那幾個電話號碼,網路一查就知道。

fsj 提到...

東森購物疑洩個資案 集團前經理 涉盜賣十四萬個資

吳俊陵/台北報導 中國時報 2008.01.24

東森購物台個資疑外洩,釀致上百民眾被詐騙案,昨晚案情獲得重大突破!刑事局偵一隊在八德路逮捕曾在東森集團的子公司「東森休閒育樂股份有限公司」任職經理的高明德,高嫌曾在東森購物台節目中,代言販售溫泉休閒旅遊行程和北市小巨蛋演唱會門票。

高嫌離職後利用「一○四」人力銀行網路和電話上的買家須求資訊,盜賣了十四萬六千筆公司會員資料,給予四家電話行銷公司並牟利四萬多元,警方不排除尚有無其他東森購物內部員工涉案。

警方調查,嫌犯高明德(卅六歲,無前科)曾在九十五年十月至九十六年八月間,任職於東森集團旗下的東森休閒育樂公司,休閒開發部業務行銷處經理,負責台北市小巨蛋和戀戀風塵溫樂的會員行銷業務。

警方查出,高嫌在任職經理的十個多月期間內,陸續以職務之便搜集大約十四萬筆東森休閒的客戶會員資料,盜燒成光碟帶返家中備檔。

警方說,高嫌從去年底離職後,工作情況不穩定,在家中坐吃山空,目前則是在某投資顧問公司內任職,高嫌利用在網路上取得的買家電話行銷公司的電話,撥打或用電子郵件詢問是否需求客戶個資,前後分別賣出四次(十三萬筆、一萬筆、三千筆兩次),不法獲利約四萬餘元。

警方調查,高明德是自稱「黃先生」,透過電話及網路販賣個資,這些東森休閒的會員資料最後恐流入詐騙集團手中。

據刑事局「一六五」彙整九十六年九月至十一月底,民眾因東森購物台個資外洩遭詐騙的案件,有八百七十三筆,且受騙高達總金額五千五百餘萬元,歹徒掌握被害人與東森購物之間的買賣交易情形和個人資料。

其詐騙手法是詐欺集團先佯稱為東森購物及銀行之客服人員,以電話通知購物民眾,先行比對個人及購物資料後,指稱匯款錯誤需操作ATM更正,誘使民眾至ATM操作,詐欺得逞。