編輯部
近日知名 3C 賣場傳出資料外洩事件,許多會員於網路上表示接到詐騙電話且對方清楚知道其消費細節。警方表示今年起已經出現 10 多家會員網站疑似因同 一模式受駭。中華電信 HiNet SOC 資安分析師指出,過去詐騙集團的「詐術」,將會和駭客集團的「技術」結合,以前只能騙年長者的詐騙手法,透過駭客竊取的詳細會員資料,將可能使得社 會大眾皆淪受其害。
而新版個資法的通過,業者將有別於過去受駭後的平安無事,現今法令將嚴格要求業者對個人資料或會員資料庫擔負起維安責任,若出事則受駭會員可以要求 損害賠償,許多壽險、金融、網路購物與會員網站的業者承受了不少壓力。為了避免成為新版個資法案下的第一個祭品,許多業者紛紛找上資安廠商進行網站滲透測 試,也就是在駭客入侵之前先找安全專家測試自己一遍,以了解自家網站的安全強度。中華電信 HiNet SOC 資安監控中心的企業資安服務,便提供業者一個網站安全評估的機會,中華電信資安辦公室主任吳怡芳表示:「過去企業光靠弱點掃描來檢查網站漏洞的方式已經不敷所需,許多新的網站漏洞都得靠專業的滲透測試才能找出來,企業可藉此及早發現可能會洩漏個資的問題 點。」
中華電信滲透測試服務團隊根據過去半年對數十家政府單位、學校機構與金融業的檢測經驗,整理出與個資法密切相關的眾多駭客手法,其中以直接利用網站 漏洞入侵後臺資料庫的損害程度最大,直接盜取會員資料的手法,網站不會有明顯的異狀,往往在不知不覺中慢慢流失所有客戶資料。與個資相關的網站漏洞則有 SQL injection 漏洞、檔案上傳未過濾以及網站目錄跨越漏洞等等,而這些網站漏洞皆可造成網站資料外洩、盜取客戶資料庫以及下載程式密碼等足以跨越個資 法處罰的紅線行為。
除了利用滲透測試服務找出這類網站漏洞外,使用網站應用程式防火牆 (WAF) 也會是解決方法。資安廠商另外也推出 DLP 這類企業文件資料控管產品來 因應個資法,業者在今年起將可藉由這些防護機制來避免因個資法蒙受賠償損失。