近日知名3C賣場傳出資料外洩事件,許多會員於網路上表示接到詐騙電話且對方清楚知道其消費細節。警方表示今年起已經出現10多家會員網站疑似因同一模式受駭。中華電信HiNet SOC資安分析師指出,過去詐騙集團的「詐術」,將會和駭客集團的「技術」結合,以前只能騙年長者的詐騙手法,透過駭客竊取的詳細會員資料,將可能使得社會大眾皆淪受其害。
而新版個資法的通過,業者將有別於過去受駭後的平安無事,現今法令將嚴格要求業者對個人資料或會員資料庫擔負起維安責任,若出事則受駭會員可以要求損害賠償,許多壽險、金融、網路購物與會員網站的業者承受了不少壓力。為了避免成為新版個資法案下的第一個祭品,許多業者紛紛找上資安廠商進行網站滲透測試,也就是在駭客入侵之前先找安全專家試打過自己一遍,以了解自家網站的安全強度。中華電信HiNet SOC資安監控中心的企業資安服務,便提供業者一個網站安全評估的機會,中華電信資安辦公室主任吳怡芳表示:「過去企業光靠弱點掃描來檢查網站漏洞的方式已經不敷所需,許多新的網站漏洞都得靠專業的滲透測試才能找出來,企業可藉此及早發現可能會洩漏個資的問題點。」
中華電信滲透測試服務團隊根據過去半年對數十家政府單位、學校機構與金融業的檢測經驗,整理出與個資法密切相關的眾多駭客手法,其中以直接利用網站漏洞入侵後台資料庫的損害程度最大,直接盜取會員資料的手法,網站不會有明顯的異狀,往往在不知不覺中慢慢流失所有客戶資料。與個資相關的網站漏洞則有SQL Injection漏洞、檔案上傳未過濾以及網站目錄跨越漏洞等等,而這些網站漏洞皆可造成網站資料外洩、盜取客戶資料庫以及下載程式密碼等足以跨越個資法處罰的紅線行為。