【硬塞評論】台灣網購平台個資外洩事件頻傳,消費者與平台方該如何自保?

誠品數位近日在官網播送一則提醒消費者切勿上當的照片,多半是會員資料又外流了!
評論
Photo Credit: Nicole De Khors
評論

最近,台灣書籍品牌誠品數位的官網上,播送這一張白底黑字的圖片,大意寫道:誠品不會主動向顧客要求提供金融資料,以及要求顧客退款、匯款等動作,請消費者小心,切勿上當喔!

如果是一般消費者,可能只是覺得又是一張無聊的警告圖片,好像沒甚麼。但如果對資安敏銳度較高的人,一眼就可以看出來,誠品線上大概也遭駭了!並且恐怕有消費者個人資料流出,才會因此「溫馨提醒」要消費者自己多多小心留意,以免間接因為誠品線上資安漏洞,而遭到詐騙。

截圖自誠品線上網站,截圖時間為 2021/04/21 16:10。

台灣電商屢傳資安疑慮!

今年一月,刑事局統整去年發生「解除分期付款」詐騙案,整理出高風險電商平台前五名,第一名是富邦媒旗下的 momo 購物網,共計 383 件此類型詐騙案,接著依序為小三美日、讀冊生活、486 團購網、HITO 本舖。這五間賣場為去年的「解除分期付款」詐騙案,貢獻了總共 1391 起案件,數字相當驚人。

推薦閱讀:呼籲資安防護!刑事局公布前 5 名網購高風險賣場 momo居冠

去年最令消費者印象深刻的,應是線上二手書平台「TAAZE 讀冊生活」大規模會員個資外洩事件。在去年 1 月到 8 月,讀冊生活共有 230 名會員因為資料外洩,而被「解除分期付款」手法騙得新台幣 2200 萬元的高金額。

由此上述種種事件可見,台灣的電商平台在資安領域真的還需要加油,幾乎每個網購平台都傳過個資外流的消息。在台灣,網購已經成為全民運動,尤其在疫情過後有更加依賴線上購物的趨勢,而這樣的消息,不只破壞消費者對台灣品牌的信任,更讓駭客與詐騙集團有機可趁,實為兩敗俱傷的局面。

不只電商,科技業也遭殃

當然,最近資料外洩的不只有電商,連科技業也是災情頻傳。

今天才傳出接下蘋果電腦代工的台灣企業廣達,遭駭客竊取出龐大的資料量,其中包含  Macbook 機密設計圖,歹徒更索償 5000 萬美元(折合新台幣約 14 億元)的天價贖金。若指定時間內未付款,將加收 5000 萬美元贖金。而廣達目前聲明,已啟動資安防禦機制,並與多家外部的資安專家協作,預計不會影響日常營運,也做出不付贖金的堅決態度。

推薦閱讀:傳駭客勒索 14 億 廣達:已與技術專家合作處理 不影響營運

除此之外,去年 10 月以來還有 10 間以上的上市公司傳出遭駭新聞,鴻海、宏碁也陸續傳出災情,其中全球第二大筆電代工廠仁寶被勒索 1,000 枚比特幣,工業電腦龍頭廠商研華也在 11 月被駭客入侵,所幸沒遭勒索。

為何近期駭客總是動作頻繁?媒體推測是因為全球疫情導致員工在家工作的趨勢,使資安漏洞變多,讓科技業的災情比以往嚴重許多。

建議與後續行動?

對消費者或一般使用者來說,要避免個資外洩,首先要對使用的網站、服務,甚至是所有數位訊息,都要抱有一定程度的「懷疑論」,不可直接全心信任平台,自己也要建立保護個資的心態,例如看到網頁跳出可疑的轉盤或抽獎遊戲,點擊前務必要三思;或者是來電開頭有「+」號、「+2」、「+886」,以及「前往 ATM」、「解除分期」的關鍵字,都必須提高警覺。

另外,隨時注意帳號的使用情況、搭配多重認證的登入驗證方式,也是自身可以做到的簡單防護措施。而養成隨時將系統或程式保持最新狀態的好習慣,也是很重要的。因為作業系統的更新,往往都是為了保障前一代系統的 bug,其中更不乏資安漏洞。駭客往往會利用企業向外公布的漏洞,尋找還沒有更新或懶得更新的使用者下手,輕輕鬆鬆達到目的。

舉例來說,蘋果在 iOS 14.4 與 iPadOS 14.4 的更新公告中,直接說道漏洞可能「已經被駭客積極地利用」,先前就有駭客組織針對沒有及時進行更新的個體或公司「出手」。可見,順手更新系統是很關鍵的防駭手段。

推薦閱讀:快更新 iOS 14.4!蘋果:資安漏洞恐已被駭客積極利用

而針對平台業者的建議,最重要的就是在消費者個人紀錄、金融服務資料的數據保障上,應該成為各家平台維護系統的首要目標,不應該因為此服務不是賺錢的主力,而忽略了資訊安全的維護。

平時可選擇與外部資安廠商進行協作,提高資安防護的安全性,以及對任何可以存取資訊的員工採零信任(Zero Trust)的合作模式,所有流量都須通過嚴謹驗證,方可獲取資訊,並且對資料進行網路隔離,建立具有控制與防範功能的網路隔離閘道,避免未加密的資訊外洩。

在處理資安事件的態度,必須保持開放、積極的態度。並不是貼一張公告圖片在首頁即可了事,而是必須積極找尋駭客入侵的漏洞,建立起單一的安全通報窗口,以快速對應資安事件。另外也可在平時建立起漏洞提報的獎勵機制,鼓勵內、外部一起防範資安事件,不只對外建立起認真、負責任的態度,也可以更有效率地擊破駭客攻擊。

核稿編輯:Mia

延伸閱讀:



Akamai 擁有最卓越的執行能力,獲《Critical Capabilities》肯定

Akamai 是全球最受信賴的數位體驗保護和遞送解決方案供應商,連續四年獲得《Magic Quadrant for Web Application and API Protection (WAAP)》評選為領導者。
評論
圖片來源:Akamai
評論

Akamai Technologies, Inc. 是全球最受信賴的數位體驗保護和遞送解決方案供應商,在 2021 年《Magic Quadrant for Web Application and API Protection (WAAP)》(網路應用程式與 API 保護 (WAAP) Magic Quadrant) 中,獲 Gartner 評選為領導者。

Gartner 分析師評鑑 11 家廠商,並依據各廠商願景之執行力和完整度給分。在採用新命名的報告中,Akamai 在執行能力方面獲得最高評價。這份報告是 Gartner《Magic Quadrant for Web Application Firewalls》(網路應用程式防火牆 Magic Quadrant) 的進化版本,而 Akamai 在過去四年連續獲 Gartner 於該報告中評選為領導者。

Gartner 也發表了 2021 年《Critical Capabilities for Cloud Web Application and API Protection》(雲端網路應用程式與 API 保護的關鍵功能) 報告。這是 Gartner《Magic Quadrant for Web Application and API Protection》(網路應用程式與 API 保護 Magic Quadrant) 的配合報告,此報告評估了 WAAP 產品保護網路應用程式與 API 的能力。在此報告內,Akamai 於四大使用案例的其中三項皆獲得最高分,包括 API 安全與 DevOps (3.60/5)、高安全性 (3.76/5),以及網頁規模的業務應用程式 (3.91/5)。

根據 Gartner《Hype Cycle for Application Security, 2021》(2021 年應用程式安全技術成熟度曲線) 指出:「雲端網路應用程式和 API 保護產品是雲端遞送式多功能網路應用程式安全產品,且須整合至少四項核心功能:網路應用程式防火牆、DDoS 保護、機器人程式管理和 API 保護。WAAP 是網路應用程式防火牆所扮演之角色的進化版,而此進化是因為企業需要更有效地防禦多種威脅手法,同時大幅增加對外公開的網路應用程式和 API。」

Akamai 親眼見證叫用 API 的幅度大幅增加。為了確保 API 安全,需要量身打造的解決方案,以因應深度 API 訊息檢查、API 規格管理、驗證與授權,以及反自動化等問題。

Gartner 表示:「安全與風險管理領導廠商所選用的 WAAP,應能夠提供容易使用的控制功能,並可針對先進機器人程式與日益進化的 API 攻擊,提供更為專門的保護。」根據 Gartner 指出:「到 2026 年時,40% 的組織會根據進階 API 保護及網路應用程式安全功能來選擇 WAAP 供應商。」

Akamai 相信,全方位的網路應用程式和 API 保護解決方案需包含相鄰安全功能,以涵蓋範圍不斷擴張的威脅。在 2020 年,Akamai 推出首款引進自動化 API 探查與分析功能的雲端 WAAP 解決方案。

Akamai 在今年推出調適性安全引擎,這是其網路應用程式安全產品組合的核心基礎,其設計可自動因應攻擊的複雜程度來調整防護,同時減少維護和調整規則的工作。另外亦包含機器人程式能見度與緩解能力,以針對機器人程式對數位資產的影響提供深入剖析。

Akamai 應用程式與網路安全產品管理副總裁 Amol Mathur 表示:「網路應用程式與 API 安全有一項不變的特質,那就是變化 Akamai 持續在 WAAP 產品中推動大幅進展,讓我們的客戶能更輕鬆跟上迅速加快與變動的威脅情勢,同時提高營運效率並增加開發人員工具。我們相信 WAAP 產品組合的這些重要進展,是讓我們在 Gartner《Magic Quadrant》報告中贏得領導廠商地位的功臣。」

Akamai 技術支援和管理服務,持續獲得客戶肯定

根據報告指出:「Akamai 的客戶在客戶支援體驗方面,給予該廠商極高評價,包括他們從技術支援和管理服務獲得的專業知識和協助。」

此外,Akamai 保護資料、網站和應用程式的能力,以及其網路安全解決方案的使用簡便性,均獲得客戶的認可。

根據 2021 年 9 月 20 日的 Gartner Peer Insights 評論,以下是 Akamai 客戶的意見:

  • 一位服務業的技術主管表示:「這套軟體 (Kona Site Defender) 擁有絕佳的功能,可保護企業資產和組織資源免受 DDoS 攻擊和各種網路威脅的影響。它在處理威脅時能提供高準確度。它能以更準確的方式保護網站和裝置,包括行動裝置在內。它能封鎖與廣告相關的惡意網站和內容,這些都可能損害企業安全。」
  • 一位零售業的軟體開發工程師表示:「適用於 DDoS 和網路應用程式攻擊的最佳安全產品。KSD 是我用過最好的安全工具。它簡單易用,而且具有出色的支援能力。KSD 提供可自訂的保護機制,這非常有用,且其功能都相當實用又切中要點。」
  • 一位金融業的網路自動化專家表示:「我們與 Akamai 合作以保護我們的核心資產,而每一分錢都值回票價。我們每年都會進行一次 DDoS 模擬演習,以測試 Akamai DDoS 和 WAF 的控制功能,而測試結果證明我們的投資是值得的。」
  • 一位金融業網路產品經理指出:「Kona 提供了顯著的安全改善,並且賦予我們過去無法獲得的可見度。它是我們的策略中的核心產品,以確保提供給客戶的應用程式安全無虞。」

歡迎於此處免費參閱 2021 年 9 月 20 日所發表的 Gartner《Magic Quadrant for Web Application and API Protection》(網路應用程式與 API 保護 Magic Quadrant) 完整報告,內含 Magic Quadrant 圖表。如需有關 Akamai WAAP 產品的額外資訊,請造訪此處

本文章內容由「猿聲串動」提供,經關鍵評論網媒體集團廣編企劃編審。