資安防護公司
」
博客來詐不完1/疑內鬼洩個資坑殺近3000會員 警擬助集體訴訟阻詐
刑事警察局日前公布2022年第二季受理「解除分期付款詐騙案」,其中號稱全台最大、擁有百萬會員的「博客來網路書店」居高風險賣場之冠,財損逾億元,警方質疑該公司有內鬼在販售會員個資,但博客來僅以「不排除可能性」回應、態度消極。據統計,今年1到9月有80多家知名電商因詐騙案在高風險榜上有名,卻只有不到3成電商投入資安維護,警方為防止企業擺爛,讓無辜會員成俎上肉,未來只要同一電商受害者超過20人,將和消基會聯手幫助受害人打集體訴訟官司、對抗大鯨魚,捍衛民眾權益。警方表示,今年4月到6月,民眾通報在網路賣場「博客來網路書店」消費,後續接到假客服詐騙案,3個月高達2725件,更驚人的是財損總額逾億元,其中,一名A小姐遭詐1千1百多萬元。當時A小姐人在國外,對方來電表示她在網路書店購物結帳時設定錯誤、被重複扣款,A小姐不疑有他,依指示將帳戶內的存款匯入對方指定帳戶,匯完後她才驚覺不對,「這是詐騙,我在博客來的個資外洩」,趕緊要在台灣的丈夫幫忙報警。而另名B先生,則是接到自稱博客來客服的電話,表示公司遭駭客入侵,導致款項多刷10筆,並稱後續會請某銀行協助處理,接著果真有銀行人員打電話來,要求B先生從網路銀行及ATM匯款至其指定帳戶,然後一名自稱銀行女主管來電,要他將指定帳戶設為約定帳戶,指示繼續匯款到該帳戶云云,B先生來不及細想全部照做,總計損失990萬元,痛批詐團假冒博客來人員太可惡。詭異的情況還有民眾在博客來網路書店購物,2天後就接到詐團冒名博客來客服電話,差點受騙上當;甚至一名警官表示,他未滿16歲的女兒在該網站註冊會員,某天接到警示通知信,表示有人修改其博客來會員密碼,警官爸馬上意識到恐有機器人正在偷密碼竊個資,要求女兒趕快將各網站密碼全換掉。刑事局研發科代理科長莊明雄指出,只有3成知名電商願意著手改善資安漏洞。(圖/黃威彬攝)針對博客來詐騙案件量大,警方積極介入了解,刑事局研發科代理科長莊明雄表示,曾要求博客來從內部資安、請第3方資安單位抓問題,甚至一併檢視物流業者,但博客來竟給出「沒漏洞」、「資安沒問題」等結論,警方大膽假設該公司可能有內鬼,對方竟回答「不排除可能性」。某專業資安漏洞平台日前也曾通報博客來帳密容易遭竊取、警示資安有問題,種種狀況都讓警方認為大企業態度擺爛會助長詐騙行為,因此未來除了報請檢方啟動刑事調查,以《詐欺罪》之幫助犯方向偵辦,釐清企業員工是否幫助詐團、企業有無縱容,另方面也將推動受害者達20人以上,警方即與消基會等單位聯手幫助提集體訴訟,等同對企業施壓,迫使他們正視個資外洩問題。本刊調查,博客來於1995年成立,資本額2億元,是台灣第一家網路書店,接著又從網路書店轉型為綜合網購商城。目前博客來是國內不分線上線下、紙本書最大通路,網站圖書品項數超過200萬冊,業務範圍遍及台、港、澳以及新加坡、馬來西亞、菲律賓及美國,可配送到全球141個地區,註冊會員數達950萬,以女性會員居多約占6成左右。對於會員個資疑似遭到外洩,博客來表示已於官網加註反詐騙宣導警語、並主動發送反詐騙宣導簡訊通知消費者,持續與專業資安防護公司合作,進行資安檢測及強化保護,降低風險。至於其他部分目前還在了解當中,不便回應。 假客服人員以重複扣款等話術詐騙會員,今年第二季警方統計有2725件,對此,博客來官網特別加上警語提醒民眾小心。(圖/翻攝博客來官網)
博客來詐不完2/會員個資外洩只肯給2千折價券 雄獅旅遊開「集體訴訟」先例
詐騙猖獗,警方統計今年第二季「解除分期付款詐騙案」,號稱全台最大的「博客來網路書店」以2725件名列高風險賣場冠軍,警方不排除該公司有內鬼盜賣個資,將著手清查,另外也將協助被害人進行團體訴訟。其實,2017年雄獅旅遊因駭客入侵,36萬筆個資外洩,當時消基會即曾協助25名被害人提告求償,成為國內首宗個資集體訴訟案。警方表示,號稱擁有百萬會員的網路賣場「博客來網路書店」,疑似會員個資外洩,詐騙集團再冒充博客來客服人員去電會員,誆騙「重複扣款」等,要求被害人操作ATM或網路銀行匯款,其中一名A小姐遭詐1千1百多萬元,還因此差點得憂鬱症。刑事局研發科代理科長、擁有台灣科技大學資訊管理博士學位的莊明雄指出,警方介入了解後發現業者處理資安漏洞態度消極,不排除有企業內鬼盜賣個資,除將請求檢方指揮偵辦,另外一方面也將幫助受害者打集體訴訟官司,如超過20人受害,警方就會與消基會聯手幫民眾討公道。此外,如何「有效認明」第三方資安業者的技術能力,防止濫竽充數,未來將不排除公布相關數據資料讓民眾知悉。\博客來會員A小姐接到假客服電話遭騙1千1百多萬,博客來才向警方表示資安沒問題,但9月13日在資安漏洞平台上又被通報出包。(圖左/示意圖非當事人,報系資料照。圖右/民眾提供)對此,律師戴智權表示,民眾如遭遇類似詐騙,除了先報警外,如欲提告求償,得先保留完整匯款等金流明細證據,因為按照《個人資料保護法」》28條規定,如被害人不能提出所謂賠償損害,賠償金額僅為500元到2萬元。他解釋目前法院態度分為2派,一派認為民眾因聽信詐騙集團說詞導致財損,與個資外洩一事不見得有所關聯;另一派則認為被害人也要附帶相當責任,尤其近年來政府大力宣導,且各種防詐廣告甚至ATM上都有貼警語,民眾大概要自付7成責任,也就是如果遭騙10萬,如真的勝訴賠償金額約3萬元。本刊調查,國內首宗個資受害團體訴訟案為2017年雄獅旅行社電腦主機遭駭, 36萬顧客的身分證等個資被竊取,歹徒假扮雄獅人員,宣稱下單過程有誤,要被害人到提款機操作詐騙錢財,總計25人被害。案件發生後,雄獅表態僅願賠償每人2千元折價券,雙方協商未果,消基會依《個人資料保護法」》、《消費者保護法》及《民法》代25人提告求償450萬9575元。律師戴智權表示,如遭遇類似假賣場客服詐騙,民眾應先報警,如欲提告求償,也得保留完整匯款等金流證據。(圖/戴智權提供)一審士林地院認為,這是第3者惡意入侵,雄獅有善盡管理責任,2019年11月間判消基會敗訴。判決出爐後,消基會提出聲明痛批《電腦處理個人資料保護法》從2015年8月11日公布施行,後又更名為《個人資料保護法」》,但企業對於個人資料保護觀念仍停留在「個資外洩是他人不法犯行,企業本身對於消費者受到的損害不需負擔法律責任」之程度,消基會無法認同此一判決且提出上訴,目前該案進入高等法院二審中。對於會員個資疑似遭到外洩,博客來表示已於官網加註反詐騙宣導警語、並主動發送反詐騙宣導簡訊通知消費者,持續與專業資安防護公司合作,進行資安檢測及強化保護,降低風險。至於其他部分目前還在了解當中,不便回應。