網路平臺個資外洩事件不斷，下面是2021年的一則新聞

假冒電商詐騙橫行，2020年小三美日與讀冊生活連續兩年名列年度高風險網購平臺

對於臺灣網路購物詐騙橫行的現況，我國刑事警察局每年都會發布民眾通報高風險網路賣場名單，提醒消費者需慎防詐騙，在2020年，Momo通報件數最多，小三美日與讀冊生活更是在前一年就名列年度前五。
近年來，165反詐騙每周公布民眾通報高風險網路賣場名單，最近2020年度前5名出爐，統計了全年解除分期付款的案件，這當中有哪些新的趨勢變化？

國內大型網購業者首次列入年度高風險賣場
根據刑事警察局統計，2020年解除分期詐騙的5大民眾通報高風險賣場，分別是Momo購物網、小三美日、讀冊生活、486團購網，以及Hito本舖，他們的通報件數都超過200件，其中Momo以383件最為嚴重。
特別的是，在最近五年來，我們首次看到國內大型網購業者入榜。自2020年4到6月期間，Momo就連續每周出現於165反詐騙公布的名單。

有兩家網購業者連續2年都有近300件通報
此外，有些網購業者是每年都名列榜上，表示警方是持續接獲民眾通報，也意味著，這些網購平臺是持續存在疑似個資外洩的狀況，民眾必須多加留意。
例如，小三美日與讀冊生活，在2020年各別有355件與293件通報，是全年第二與第三嚴重的網購平臺，而這兩家業者在2019年時，其實同樣也是居於前五名，當時也都各自有將近3百件。
更受關注的是，讀冊生活已連續三年居於年度前5名，在2017年也有374件，等於是近年來最多被通報的業者，三年總計942件，將近千件，甚至在2020年8月初，短短一周內就有多達45件民眾通報。
對於這樣的情形，讀冊生活董事長張天立在2020年8月中旬曾出面回應，表示公司將強化網站安全。目前，該業者狀況看起來是已有改善，自2020年9月中旬後，讀冊生活已經不再每周名單之中，但仍要持續觀察。
至於小三每日，改善狀況也將是社會大眾都關注的焦點，目前看來，該平臺最後出現在每周名單是在2020年10月中旬。

網路平臺個資外洩事件不斷，下面是2022年的一則新聞

國內個資外洩詐騙案頻傳，2021年報案件數劇增，誠品書店、東森購物與王品集團最嚴重

國內個資外洩引發的詐騙問題激增！刑事警察局公布2021年全年前5大高風險賣場名單，分別是誠品書店、東森購物、蝦皮購物、婕洛妮絲、金石堂，光誠品書店就有940件、東森購物有868件，比往年高出不少。而王品集團旗下品牌的加總達587件，堪稱第三高，還有數十個公益慈善機構入榜，累計也有370件。

因個資外洩造成的社會詐騙層出不窮，為了因應此一問題，刑事警察局持續藉由公布高風險名單，包括網購平臺、商家或組織，通知業者疑個資外洩情事發生，並提醒民眾注意相關詐騙，但仍有許多人上當，在1月22日刑事警察局發布的最新公告中，揭露了2021年全年前5大高風險賣場名單，前五名分別是：誠品書店、東森購物、蝦皮購物、婕洛妮絲、金石堂，而且，光是警方受理這些商家的件數，就逼近3千。

對此，大家須再提高警覺，因為自2021下半年開始，警方接獲民眾報案件數，開始出現大幅增加情形，而且，臺灣社會資料外洩嚴重的問題，不只發生在網路購物平臺，還包括實體通路餐飲業王品集團，以及多個公益慈善機構，他們本身都擁有大量的會員資料，以及捐款者資料。

2021個資外洩情形比往年嚴重許多，報案件數大幅增加
根據刑事警察局統計，2021年解除分期詐騙的5大民眾通報高風險賣場中，誠品書店有940件、東森購物有868件、蝦皮購物有500件，三者的情況最嚴重，民眾通報件數都在5百件以上，前兩名更是都將近1千件，超越警方歷年公布的年度統計資料，相關個資外洩及詐騙風險達到前所未見的程度。

回顧2020年，當時刑事警察局統計出來的高風險賣場，第一名為383件，第二到第五名都是2百多件，對比之下，2021年通報件數的確處於暴增狀態。

不僅誠品網路書店、東森購物等網路購物平臺屢屢上榜，以實體店面為主要經營環境的王品集團也值得關注。而在長期追蹤之下，我們發現這樣的狀況，根據警方每週公布解除分期詐騙案的結果，該集團旗下持續有多個餐飲品牌入榜，這段時間通報案件應該不少，對此，我們向警方徵詢更多資訊，這當中涵蓋的餐廳有：西堤牛排、王品牛排、陶板屋，以及夏慕尼、品田牧場、原燒、聚北海道鍋物、和牛刷與其他等，總共有587件。

若以此數量來看，該集團僅低於誠品書店與東森購物，堪稱全年度通報件數第三多。

對於詐騙件數暴增的主要原因，刑事警察局預防科偵查員林奕辰表示，主要是2021年疫情關係，網路購物興盛，以及外洩資料太多而導致，儘管警方長期不斷提醒小心這樣的詐騙手法，宣導ATM並不提供解除分期功能，希望民眾接獲相關電話應主動求證，但至今仍有民眾上當。由於警方提醒多年，因此民眾若被騙本身亦有責任，應注意詐騙集團使用的話術會不斷轉變，因此民眾須具備資安與防詐意識。

內政部警政署刑事警察局165反詐騙於1月22日，公布2021年全年前5大高風險賣場名單，分別是：誠品書店、東森購物、蝦皮購物、婕洛妮絲，以及金石堂。其中誠品書店、東森購物兩者快要千件最為嚴重。警方呼籲民眾要避免被騙，也督促電商強化資安。

在2021年警方每周公布的高風險賣場中，王品集團旗下多個餐飲品牌出現在榜上的次數不少，雖然品牌多呈現也很分散，但同一集團同時入榜的狀況，也引發關注。舉例來說，在2021年5月的一周，陶板屋、聚北海道鍋物與夏慕尼入榜，在11月的一周，有西堤牛排、王品牛排與陶板屋入榜。我們向警方取得相關統計資訊，王品集團旗下餐飲品牌的加總件數為587件。

警方持續公布高風險賣場揭露疑個資外洩商家，業者是否找出根因受關注
究竟這些業者的個資外洩是何種狀況？從2021年最嚴重的三家業者來看出端倪。

以誠品書店而言，警方是在2021年4月間，接獲多位受害者遭詐騙報案，許多網友當時也都在網路上發文指出，對方不僅假冒為誠品的客服人員，而且相當清楚客戶的訂單內容、日期、金額與住址等資訊，甚至，詐騙集團還會再假冒金融機關人員來電。對此誠品雖然發布防詐騙電子郵件與公告，但遲遲並未針對個資外洩事件詳細說明他們調查的結果。

後來，這樣的情形還是持續發生。在2022年1月6日，立法委員劉世芳因接獲相關陳情，而召開「誠品資安有漏洞，消費者權益誰來顧？」記者會，列席的刑事局科技研發科科長林建隆指出，誠品書店的會員民眾遭受詐騙後，向警方報案，集中在4月、6月、8月到12月，但該公司並未有效找出這個資安事件個資外洩的根因，因此，他建議業者需要假設某一天會被入侵的思維，才能解決問題。

面對這些廠商無法改善的狀況，政府是否該採取更積極的行動？經濟部商業司專委蕭旭東表示，他們將依照個人資料保護法第22條規定，先啟動行政檢查，若該公司仍無法達到個資法或主管機關的要求，再依個資法第48條規定，令業者限期改善，若無法達成保護消費者個資的要求，將可執行行政裁罰。

另一家民眾通報件數僅次於誠品書店的東森購物，他們是從2021下半年，開始被傳出資料外洩事件，但民眾通報件數竟迅速升到全國全年度第二。警方是在2021年8月後密集接獲民眾報案，9月曾有網友發文表示，他們曾接獲冒名東森購物客服人員的電話，對方竟能與其核對姓名、購買日期及購買內容等，可見業者個資洩漏的欄位並不少。更受關注的是，單看第四季而言，就有453件民眾通報，以這段期間而言，狀況可能比誠品書店更為嚴重。

至於王品集團，在2021年3月，公告王品牛排所屬的「電子菁英會員」系統的顧客資料被盜，並持續向會員發布防詐騙簡訊與公告。

然而，王品集團旗下多個品牌的餐飲事業，也都出現客戶個資外洩問題，似乎未能解決，許多受害者報案，也有人曾接到詐騙電話。在11月底，桃園市前議員王浩宇也於臉書發文，指控王品集團旗下品田牧場發生個資外洩狀況，詐騙集團清楚知道他的用餐時間、餐點與金額。

就目前的狀況來看，警方已公開指出，誠品書店仍未找到資安事件根因，須設法改善，但王品集團與東森購物是否也出現同樣狀況，將是大眾另一個持續關注的焦點，而且，這些問題若不徹底解決，商家個資外洩引發的詐騙事件，仍可能會一再發生。

諷刺的是，這三家業者雖然都發布防詐騙公告，通知會員與消費者提高警覺，但僅有王品牛排坦承顧客資料遭盜竊，其他業者卻並未主動對外表達他們是否受害與處理狀況，有欺騙消費者的嫌疑。

面對這些事件的發生，各界都很關注來龍去脈。就結果而言，由於詐騙者清楚知道訂單明細與個資，但個資外洩究竟如何發生？問題出在消費者端，還是商家與其合作夥伴？商家真的進行調查了嗎？若是業者遲遲找不出原因，也還是必須對外說明，同時，民眾期望政府能為他們的權益把關，而能加強督導，勢必會加強監管企業的力道。

網路平臺個資外洩事件不斷，2006年底其實就消息不斷

文/iThome | 2008-02-27發表
線上購物網站的安全事件不斷，不論使用者或業者都無法有效遏止，到底發生了什麼事？網路交易到底安不安全呢？
https://www.ithome.com.tw/tech/47677

‵‵`
去年全球各地發生網頁資料外洩的事件，臺灣也不例外。尤其是線上購物網站傳出的災情甚為嚴重，幾乎臺灣前十大大型線上購物網站，超過一半也傳出因使用者資料外洩引起的網路詐騙案件。詐騙電話不僅能知道你的姓名、電話、住址等個人資料，甚至連你什麼時候買了什麼東西，花了多少錢都一清二楚。顧客很容易就信以為真，進一步配合對方匯款或是提供信用卡資訊，造成大量金錢損失，甚至連續受騙。

刑事警察局最新發布的網路詐騙統計中顯示，去年1～8月累計的詐騙金額超過3億1千餘萬元，受害人數超過萬人，其中大多數情況，都是這類因為個人帳號與交易資料外洩引起的詐騙案件。

到2007年底，線上購物網站安全事件更為嚴重，刑事警察局為了能即時對消費者提出預警，直接對外公布發生疑似安全問題的網站名單。不論是知名拍賣網站（雅虎拍賣網、露天拍賣），主流網路書店業者（博客來網路書店、金石堂網路書店）、購物平臺（PayEasy、東森電視購物頻道、MOMO電視購物頻道）等多家大型線上購物網站，不論實際外洩情節輕重、或僅發生關連但外洩原因不明等情況，刑事警察局都在網頁通報中一一點名，希望能提高使用者的警覺心，來避免持續的金錢損失發生。

資安問題層出不窮，原因錯綜複雜
雖然交易資料外洩的事件頻傳，但是發生問題的原因卻眾說紛紜。
部分業者可能是怕影響信譽，低調不願全盤拖出。或是線上購物業者也無法追溯實際情況，只能不斷針對可能的漏洞提出防護。顧客無法判斷洩漏的來源，更是直接懷疑使用過的每一個線上購物網站。這些撲朔迷離的解釋或漫無止境的懷疑，只是讓顧客對線上購物的交易信心更為薄弱，重重的打擊了臺灣線上購物網站的營運。

露天拍賣營運長葉奇鑫表示：「安全事件流失的顧客，至少得花5倍的成本才能找回。」

若從實際詐騙案件來追溯可能原因，根據刑事警察局「165週報」發布的統計數據顯示，臺灣開始出現大量網路詐騙事件，是從2006年底開始，到2007年1月達到高峰。這時期的案件多數是利用使用者對網路交易的陌生和信賴感，謊稱ATM轉帳錯誤，來誘騙買家重複匯款。但到了2007年4月後，刑事警察局發現網路詐騙手法開始轉變，開始出現盜用帳號或者盜用交易資料的詐騙案件，例如冒用聲譽良好的賣家帳號，提供假交易，或是盜用交易資料，偽裝業者來騙取顧客將金錢匯入問題帳戶。

除了詐騙手法的改變反映出開始出現交易資料外洩的問題，2007年第二波網路詐騙案件，在規模上，每月累計的詐騙金額暴增一倍，2007年8月分單月高達7348萬元，案件數也超過1千件。更有大量詐騙案件，整批集中在特定線上購物網站的趨勢，顯示出不僅是特定帳號發生資料外洩事件，更可能是線上購物網站發生漏洞，導致整批資料大量外洩的情況。

到底線上購物網站發生了什麼事？中華電信資安辦公室資安技術研發組組長李倫銓表示：「線上購物網站的資安問題，錯綜複雜，不論網站或使用者都有可能出問題。」

使用者端資料外洩的問題嚴重
的確，資料外洩並非是從線上購物網站出現才開始，有心人士早就開始透過各種管道蒐集大量的個人身分資料庫。網駭科技創辦人徐千洋表示：「嚴重到彷彿有一個地下戶政事務所的機構，蒐集了上百萬人的各種個人資訊。」除了一些常見的基本資料等，可能連曾經用過的帳號密碼資料都被竊取。

最常見的竊取手法是直接向使用者偷資料。因為這個方式竊取到的是正確的使用者帳號密碼，當駭客要冒用帳號登入網站時，線上購物網站很難分辨真偽，一樣會給予合法的使用權限。過去常見的方式例如透過如釣魚郵件提供偽造的銀行網站或線上購物網站，騙取使用者輸入正確的帳號密碼。

近兩年來新興的方式則是透過惡意網頁、MSN、電子郵件附件或是隨身碟病毒感染的方式，將惡意程式，植入使用者的電腦中。當使用者登入線上購物網站時，惡意程式會從旁偷偷記錄帳號密碼資訊，再透過網路傳回駭客的資料庫中。尤其是大多數使用者為了便於記憶，會使用較簡單的密碼，或者多個帳號都使用相同密碼。讓駭客更容易在取得一組密碼後，能夠通行於多個帳號，造成連坐損失。

與使用者端的問題相比，線上購物網站資料外洩的危害程度不同，可能被入侵一次，就會造成成千上萬的使用者資料外洩。即使發生頻率較少，但造成的影響卻很大。但是臺灣線上購物網站往往受限於市場規模有限，葉奇鑫表示：「為了求生存，線上購物網站多半先注重業務面或產品面的功能，後來才能開始重視安全。」敦揚科技資安顧問楊伯瀚認為：「這種先求功能性，再求安全性的做法，會同時爆發不同層面的安全問題。」因此，要了解線上購物網站的問題，必須從整體架構區分不同的層面來看。

若從線上購物網站的整體結構來區分，可以從4個層面，來看網站安全的問題，包括接觸到網站的人員、網站本身、網站底層的系統（或伺服器）以及網站所處的網路環境。

人員訓練不足，網站功能不夠嚴謹
第一項人員層面的問題，最常見是開發人員的資安意識不足。精誠資訊網站加值事業處資深處長廖維欣表示：「開發人員缺乏資安訓練，很容易寫出不安全的程式碼，不論資深資淺都有同樣的問題。」她解釋，資淺人員可能因為學校的程式設計課程不重視安全開發的訓練，加上開發經驗不夠，寫出的程式碼容易有漏洞而不自覺。而資深人員則是容易習慣於使用過去已經寫好的程式碼或函式，可能以前未考慮到新的程式碼漏洞，同樣也會寫出不安全的程式碼。

如果又缺乏一套安全的開發規範，或者是在開發流程上，缺乏對程式安全品質的檢查，很容易就會開發出不安全的網站功能，增加日後被入侵的機會。尤其是對缺乏預算養開發人員的小型線上購物網站而言，李倫銓表示：「網站驗收人員經常只看功能，未要求安全品質。」更造成線上購物網站的安全品質良莠不齊。

人員層面的問題，除了開發人員以外，對網站營運人員的控管，是另外的潛在危險。網站營運人員，例如網管人員、客服人員等都能夠透過內部系統接觸到顧客資料，若是對使用權限控管不良，或者是資料存取的控管不嚴，可能都會造成資料有意無意間的洩漏。甚至有權取得資料的營運人員，若缺乏適當的稽核或監控措施，也能私自竊取顧客資料移作非法使用，去年就曾爆發過網站內部主管竊取資料的案件。人員是線上購物網站的第一層危險。

網站本身的功能是第二個危險的地方。除了因為開發人員訓練不足，造成網站漏洞，沒有發現以外，有時是功能或流程設計的流程錯誤，使得有心人士，可以合法的不當使用網站，竊取到資料。

McAfee美國西北區顧問經理陳彥銘表示：「網站功能中，有6種類型，如果設計不嚴謹，容易造成安全問題。」他解釋這6種包括網站配置（Configuration）、身分驗證（Authentication）、網頁授權（Authority）、資料確認（Data Validation）、資料保護（Data Protection）以及例外處理。

底層系統、內部網路與關連網站的安全容易被忽略
除了使用者、網站人員，以及網站功能外，還有兩類過去常見的資安問題，一類發生在是支撐網站應用程式執行的底層系統，包括作業系統、伺服器等，這是過去常發生駭客入侵問題的所在。但Web服務的盛行，以及網路防火牆產品的進展，使得外部入侵的管道，都集中到Web服務的層面，使得底層系統的安全問題較少發生。但是當網管人員過於重視Web功能的維護時，有時容易忽略了對底層系統的維護，例如沒有定期更新修補程式，或者安裝到有安全疑慮的舊版軟體，因此產生防護的空檔。相較於Web功能而言，這些底層系統的維護，是屬於能解決，但容易被忽略的一環。另外一類內部網路的漏洞也是如此，網管人員容易只關注在外部的入侵活動，而忽略了對內部網路的防禦，當內部電腦，中木馬程式時，反而可以長驅直入，成為駭客的入侵跳板。

上述從不同層面來剖析安全問題，除了使用者端的問題以外，多半都是線上購物網站能夠自行處理的環節。但是還有一個環節是線上購物網站會受到波及，但又難以觸及的環節，是來自關連網站的影響。PayEasy購物網站資訊部副總經理陳怡宏表示：「線上購物網站間的產業鍊關係很密切，也很脆弱，不論是水平的競爭網站，或是上下游的協力網站。有一家出事，很容易波及到其他人。」例如將產品交由下游物流業者派送時，業者對送貨單的查詢權限控管不嚴，造成顧客的交易資料外洩、或者是顧客使用的郵件遭入侵，網站與顧客往來的郵件遭竊取，進而洩漏交易資訊。因為目前線上購物產業還沒有一套共同安全標準，或是相關法律規定。陳怡宏認為只有經驗共享，才能共同提升產業鍊的安全，因此去年PayEasy遭受詐騙集團攻擊時，陳怡宏也願意將防護的經驗大方分享給其他網站，這個做法也獲得不少同業與顧客的肯定。

線上購物網站安全的挑戰來自多種不同的環節，單一點的防護，無法顧得周全，徐千洋表示：「網站安全必須是全方位的防護。」不少大型線上購物網站往往都會依據自己的網站功能、網路環境、預期的安全效益等特色，搭配不同防護做法，發展出專屬的全方位防護方式。接下來，我們將透過實際案例的剖析，介紹線上購物網站平常難得公開的整套安全防護作為，並進一步介紹常見的安全防護方法與設備，提供企業規畫自身線上購物整體防護計畫時的參考。文⊙王宏仁
露天拍賣從開發流程和制度落實安全
‵‵`