iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 7
2
Security

三十篇資安實例分享及解析系列 第 7

三十篇資安實例分享及解析DAY 7--雄獅旅遊因個資外洩,遭消基會求償363萬餘元。

近幾年,產業發生了很大的變化,我們可以看到Uber沒有自己經營的車隊,卻能調度車子、Airbnb沒有自己經營旅館,卻能把旅館出租出去等等例子,我們就可以了解這種新的營運模式,又把產業帶領進入新的服務業經營模式,但是這種改變,卻又浮現很多其他的問題,其中一個問題,就是因為大量使用APP或網頁平台,產生資安上的漏洞,客戶資料外洩就是最常發生在這種新興的經營模式之上。以下就用台灣的上市公司雄獅旅遊來說明。

(1)事件:雄獅旅遊因個資外洩,遭消基會求償363萬餘元。
(2)被攻擊單位:雄獅旅遊
(3)系統:員工電腦作業系統
(4)時間:2017年5月
(5)攻擊方式:境外IP攻擊,致使網路流量異常,網速降低

筆者舉雄獅旅遊為例的原因,在於雄獅旅遊營運上,是一個筆者認為很有創新的公司,大家可以從新聞上看到,坊間也有很多旅行社存在,但是卻難以望其項背呢?雄獅旅遊的營運團隊,也是從小小的旅行社開始,然而,當他們擴張到一定規模之後,他們開始投入資訊領域,大家或許會以為,雄獅旅遊只是到處開很多服務據點,但其實不然,他們資訊團隊佔公司營運員工人數的比例極高,所以目前與其說雄獅在做旅遊服務,還不如說他們將旅遊產業資訊化

然而,這些過程當中,首當其衝就是資安的問題,試想,全台灣,包括外國人,只要向雄獅訂機票、參加旅遊行程、閱讀旅遊資訊等等,有多少萬筆資料掌握在雄獅旅遊的資料庫內呢?這估計出來鐵定是非常龐大的。當旅行社手上握有如此珍貴的資料庫時,加上其全國的服務據點眾多,一個不注意所有各式各樣想竊取個資的方式,很快就會想盡各種方法趁虛而入的。

以下筆者還是引用雄獅旅遊在2018年3月1日的公開重大訊息公告部分內容:

6.報導內容:
雄獅消費者個資外洩 消基會團訟求償363萬
7.發生緣由:
消基會舉辦記者會及媒體引用消基會新聞稿報導內容,
說明擬將代消費者對本公司提起團體訴訟並請求損害賠償新臺幣3,639,592元。
8.因應措施:
(一)自去年(106年)5月遭IP位置來自於境外之不法人士入侵員工電腦作業系統,致個資外洩事件發生後,本公司即盡力配合檢調及相關機關進行偵查,並以電話或簡訊通知客戶注意避免詐騙行為,故消基會指稱消費者因本公司個資外洩而有損害云云,恐屬誤會。
(二)本公司尊重客戶選擇以司法途徑消除雙方紛爭,並將委請律師提供協助,期望司法程序得儘速釐清本公司清白。
(三)本公司就前揭網路攻擊事件已為即時及妥善之處理,並賡續致力提升本公司資安防護措施,希望持續為消費者提供最高等級之保障。
(四)本公司之營運及出團狀況均未受本事件影響,懇請社會大眾放心。

筆者看到該公告之後,隔天UDN新聞標題寫:個資外洩消基會求償 雄獅:公司被駭也是受害者(相關新聞連結 https://udn.com/news/story/7241/3007155 ) ,
雄獅後續並沒有針對該新聞再發任何公告澄清,因為公司未澄清,所以我們先假設記者寫的為真,筆者就以上觀點做個評論及分析。

首先,將產業資訊化的過程中,應該就能『預見』會有駭客入侵的問題,是以加強資安本來就是責無旁貸之事,但是公司卻說自己也是受害者,這就有問題了。

其次,公司再發生個資外洩之後,接著就有詐騙集團開始利用該事件,到處行騙,這並非沒有前例,因為在當年度4月份,另一家大型旅遊公司--可樂旅遊,就已經發生了個資外洩,訂票民眾被詐騙的事(壹週刊新聞內容:https://www.nextmag.com.tw/realtimenews/news/284202 ) ,這已經不是可『預見』之事,而是有前車之鑑,且是必然會發生之事,然而,公司直到有人受害之後(自由時報:http://news.ltn.com.tw/news/life/paper/1104829 ),才於106年5月23日才在重大訊息裡公告有詐騙情事,部分內容如下:

6.因應措施:
本公司立即向警察機關報案並請求協助偵辦,已請外部專業資安防護顧問公司進場協助提升資訊防護並提升加密等級,所有駭客造成的資安系統破壞均已修復,並持續加強資訊安全管理。

本公司為求謹慎,特別呼籲近四個月內購買上述產品的民眾防範遭受詐騙。
本公司亦將透過簡訊、電話通知、網站聲明及本公司所有實體通路門市,
向消費者說明並提醒:「本公司不會以電話要求提供信用卡資料或要求至ATM轉帳
或至任一金融機構要求匯款至不明帳戶等動作,
亦不會以訂單錯誤或重複交易為理由要求消費者提供帳戶資料,
消費者若有疑惑或問題,請撥打至本公司客服專線02- 87939696或反詐騙專線 165」。

筆者根據以上的兩點分析及新聞報導,做個結論,在資訊化的過程當中,很多資安的問題,都是可『預見的』問題,如果這個可預見的問題,卻沒有去預防,那如何做到資安的基本門檻呢?如果如UDN新聞所說,公司還自稱受害者,那麼是否前面幾篇所提到的案例,受害的單位都以受害者之態出現就好了,難道這就是公司該有的解決問題的能力嗎?

同樣的,大家都想問,如果是這樣,那麼數十萬筆資料外洩的受害人,又該要以甚麼身分出現呢? 消基會總不會讓兩個受害者(雄獅以及個資外洩客戶)互告吧?

可預見卻不預防,這樣所謂要加強資安不就是空談嗎? 資安的事件發生,這已經不是甚麼新鮮事了,有一點筆者還是得說,危機有時是轉機,如果每家公司都要消費者自己承擔後果,那就違反了信賴原則,讀者不要以為做好資安,不能幫公司賺錢,尤其是現在越來越重視資訊安全的時代裡,消費者不見得對資安不買單,當你搖著資安的大旗,很難說消費者不會主動投懷送抱,就如前面所言,產業型態一直再變,誰都無法預測的。


上一篇
三十篇資安實例分享及解析DAY 6--台灣司法院隔離外網還是被入侵受駭
下一篇
三十篇資安實例分享及解析DAY 8--台北市公衛系統遭置入木馬,使得眾多民眾個資外洩
系列文
三十篇資安實例分享及解析30

1 則留言

0

我要留言

立即登入留言