有再好的工具軟體,但沒有做好"人的管理",資安只算做了一半
詐騙集團冒充東森購物詐財事件,受害者懷疑東森洩露個人資料,企業資料安全再成話題。 通路橫跨電視、型錄與網路的東森購物,近日遭詐騙集團冒用名義,向會員以傳統ATM操作方式詐財,根據媒體報導,由於受騙民眾反應詐騙集團能無誤說出其訂購商品之明細、購買時間等,才相信對方確為東森客服導致損失,並因而懷疑東森內部之客戶資料可能已經外洩。
媒體報導東森購物會員資料疑似外洩的事件,可能並非個案。
不願具名的東森員工表示,最近兩個星期,每天都會接到數通會員投訴類似事件的電話,並指出詐騙集團不但取得會員姓名與聯絡電話,且能說出所訂購的商品與消費時間,部分員工還懷疑公司系統可能遭駭客入侵。
客戶資料被詐騙集團取得的原因尚不明朗,不過東森購物發言人李傳偉以開會為由,並未接受CNET訪問,該公司公關人員亦表示不便代為回應,僅說已在進行內部調查,確認原因。 不過根據東森員工透露其內部系統設計與管理流程,的確可能存在資料外洩的漏洞。
東森員工透露,不論消費者有無主動打電話要求查詢資料或進行訂購服務,客服人員只要擁有客戶的身份證字號,便能夠進入系統中看到客戶的個人資料,從姓名、聯絡方式,乃至過去的所有消費記錄,全都一目瞭然。
該名員工亦表示,東森雖禁止客服人員抄寫會員資料,但若要處理投訴或特別案例,員工仍是得用紙筆抄下會員資料、填寫制式表單,再轉送主管處理,「雖然事後會銷毀,但也難保有人不會私下抄寫資料。」 此外,雖然東森禁止客服人員使用如MSN Messenger等即時通訊軟體,但由於客服仍有查詢資料需要,並未限制員工使用網際網路,也可能成為企業資料外洩的後門。
專家:擁個資企業應加倍重視安全 資安專家則提醒,不論原因為何,擁有大筆客戶資料的業者,對於資料安全的控管,必須加倍重視,「類似東森這種擁有數百萬會員的企業,其資料安全控管標準應比照金融業辦理,」CA(組合國際)技術顧問林宏嘉說。 林宏嘉說,對於擁有大量機密資料的企業來說,分層授權是IT系統必備的功能,「不能讓一個人的手上有太多資料,否則任一個客服人員的權限都與資料庫人員相同,風險太高,」他說。 此外,他亦建議此類企業必須要有完善的監控系統,且應要能留下記錄以供日後追查。他舉例道,客服人員無可避免地會接觸到客戶的個人資料,除了權限控管,也應要把員工使用系統的存取記錄留下以供稽核,「至少未來出事了能夠回推有哪些人看過這些外流的資料,」林宏嘉說。 「營運系統本身的設計亦很重要,」他表示,從資料能否被複製,到Web-based系統本身有無管制不合法連線,乃至員工使用時的登入認證機制等,都需要層層把關,此外,企業有以軟體或直接封死的方式,禁止如隨身碟等外接設備的使用,都應該留意。 林宏嘉認為,單純以工作流程或行為規範的方式控管資料外洩,「只能防君子,卻防不了小人,」他認為,導入更嚴謹的控管方案,對於握有大量客戶資料的組織或企業來說,十分重要,「重要性不亞於銀行業,不能只用一般的控管標準,」他說。
記者馬培治/台北報導 13/9/2007
原文網址 : http://taiwan.cnet.com/news/software/0,2000064574,20123687,00.htm
詐騙集團冒充東森購物詐財事件,受害者懷疑東森洩露個人資料,企業資料安全再成話題。 通路橫跨電視、型錄與網路的東森購物,近日遭詐騙集團冒用名義,向會員以傳統ATM操作方式詐財,根據媒體報導,由於受騙民眾反應詐騙集團能無誤說出其訂購商品之明細、購買時間等,才相信對方確為東森客服導致損失,並因而懷疑東森內部之客戶資料可能已經外洩。
媒體報導東森購物會員資料疑似外洩的事件,可能並非個案。
不願具名的東森員工表示,最近兩個星期,每天都會接到數通會員投訴類似事件的電話,並指出詐騙集團不但取得會員姓名與聯絡電話,且能說出所訂購的商品與消費時間,部分員工還懷疑公司系統可能遭駭客入侵。
客戶資料被詐騙集團取得的原因尚不明朗,不過東森購物發言人李傳偉以開會為由,並未接受CNET訪問,該公司公關人員亦表示不便代為回應,僅說已在進行內部調查,確認原因。 不過根據東森員工透露其內部系統設計與管理流程,的確可能存在資料外洩的漏洞。
東森員工透露,不論消費者有無主動打電話要求查詢資料或進行訂購服務,客服人員只要擁有客戶的身份證字號,便能夠進入系統中看到客戶的個人資料,從姓名、聯絡方式,乃至過去的所有消費記錄,全都一目瞭然。
該名員工亦表示,東森雖禁止客服人員抄寫會員資料,但若要處理投訴或特別案例,員工仍是得用紙筆抄下會員資料、填寫制式表單,再轉送主管處理,「雖然事後會銷毀,但也難保有人不會私下抄寫資料。」 此外,雖然東森禁止客服人員使用如MSN Messenger等即時通訊軟體,但由於客服仍有查詢資料需要,並未限制員工使用網際網路,也可能成為企業資料外洩的後門。
專家:擁個資企業應加倍重視安全 資安專家則提醒,不論原因為何,擁有大筆客戶資料的業者,對於資料安全的控管,必須加倍重視,「類似東森這種擁有數百萬會員的企業,其資料安全控管標準應比照金融業辦理,」CA(組合國際)技術顧問林宏嘉說。 林宏嘉說,對於擁有大量機密資料的企業來說,分層授權是IT系統必備的功能,「不能讓一個人的手上有太多資料,否則任一個客服人員的權限都與資料庫人員相同,風險太高,」他說。 此外,他亦建議此類企業必須要有完善的監控系統,且應要能留下記錄以供日後追查。他舉例道,客服人員無可避免地會接觸到客戶的個人資料,除了權限控管,也應要把員工使用系統的存取記錄留下以供稽核,「至少未來出事了能夠回推有哪些人看過這些外流的資料,」林宏嘉說。 「營運系統本身的設計亦很重要,」他表示,從資料能否被複製,到Web-based系統本身有無管制不合法連線,乃至員工使用時的登入認證機制等,都需要層層把關,此外,企業有以軟體或直接封死的方式,禁止如隨身碟等外接設備的使用,都應該留意。 林宏嘉認為,單純以工作流程或行為規範的方式控管資料外洩,「只能防君子,卻防不了小人,」他認為,導入更嚴謹的控管方案,對於握有大量客戶資料的組織或企業來說,十分重要,「重要性不亞於銀行業,不能只用一般的控管標準,」他說。
記者馬培治/台北報導 13/9/2007
原文網址 : http://taiwan.cnet.com/news/software/0,2000064574,20123687,00.htm
全站熱搜
留言列表
