前情提要: #1XAFrVsq (Bank_Service)
國內爆發愛心協會大規模捐款個資外洩,影響機構恐破200間,
關鍵資訊服務商網軟遭駭仍在調查中
你的愛心捐款被駭客盯上了!百間公益團體系統為何爆資安風險?
https://www.cw.com.tw/article/5119624
年末一向是捐款的旺季,而台灣人究竟有多愛捐款?根據公益團體責信聯盟的調
查指出,2020年台灣人定期定額捐款高達 1062 億,相當於可以捐出一間上市公
司仁寶電腦了。 在數位轉型的浪潮之下,公益團體不僅善用多元募款管道與捐
款人維繫關係,也透過數位化的資料庫系統管理所有捐款人的資料,不過伴隨而
來的資安風險卻始終未被看見。
文 林麗珊 天下Web only 發布時間:2022-01-05
2021年暑假,刑事局每週公布的詐騙高風險賣場中,反常地出現13間公益團體的
名字。
其中,26年歷史的老字號社福團體至善基金會也赫然在列,與蝦皮、PChome等電
商並列。
至善基金會副執行長武庭芳,在8月初才剛聽說使用同資訊系統商的公益團體,
有捐款人遭詐騙,沒想到8月11日那天,至善辦公室裡電話鈴聲大作,全是接到
詐騙電話的捐款人打來確認資訊。
「電話鈴沒停過,電話也全滿線,我們從早接到晚上十點才離開公司,」從事助
人服務工作超過20年的武庭芳,從來沒有遇過這種狀況,她當機立斷,要求系統
商迅速通發簡訊提醒所有至善基金會的捐款人,也在所有社群網站、電話答錄換
上警語,希望捐款人不要再上當受騙。
可是,她不禁感到疑惑,其實至善的刷卡是委託另一家資訊商,為什麼捐款人還
被詐騙?
幾個月後,答案終於水落石出。「這可能是對持卡人信心衝擊最大的一次,」
Visa台灣區風險負責人沈玫芳略帶沈重地說,這起案件的影響性。
沈玫芳分析,之前的盜刷主要都來自交通、零售廠商的卡號洩漏,盜取捐款資料,
即使在亞洲都是少見的新模式。
至善基金會執行長洪智杰(左),萬華分局偵查隊賴重睿巡官(右),至善捐款資料
遭到駭客入侵,積極協助受到影響的捐款人。(圖片來源:至善提供)
含金量高的捐款人個資,竟成駭客新藍海
====================================
這起台灣地區最大規模的公益團體捐款資料被盜案,問題出在資料庫系統。
提供至善與其他200多間NPO系統服務的是一間叫網軟(Intersoft)的資訊公司。
網軟是由公益團體喜馬拉雅研究發展基金會在1990年代所成立的資訊系統公司,
當時台灣公益團體正邁入資訊化的階段,網軟為公益團體提供所有需要的資訊系
統服務,包括捐款管理、志工管理、個案管理、行政管理等系統,也提供線上金
流整合的服務。
網軟的資安檢討報告中指出,此次資料外洩事件的肇因,是捐款管理系統遭
到駭客的暴力攻擊破解。
雖然,網軟聲稱捐款系統資料庫獨立於其他的管理系統,但經天下記者四次詢問,
網軟仍不願意透露受影響的資料庫規模有多大、資料量有多少。
然而,單單是捐款管理系統的資料庫裡的未加密資料欄位之豐富,就讓三名資安
專家為之色變。
協助至善基金會調查資料外洩情事的資安警察賴重睿指出,外洩的資料包括:捐
款人姓名、住址、電子郵件、聯繫電話、捐款方案、財務狀況。「捐款要徵信、
抵稅,所以捐款人的資料都填得正確又詳細。」
換言之,這對駭客來說是非常有經濟價值的資料。
Visa台灣區總經理趙麗芳(左),Visa台灣區風險管理負責人沈玫芳(右)。
(圖片來源:Visa提供)
盜刷引Visa關切,發卡、收單銀行斷金流
====================================
最讓人感到訝異的是,照理說,有儲存信用卡卡號的資料庫,都必須加密。
但正在協助公益團體打官司的尚澄律所主持律師蔡昆洲指出,案發後,公益團體
才發現,資料庫裡大量信用卡卡號沒有加密。
這些卡號來自紙本信用卡扣款授權書,這種紙本授權書常見在旅行社、公益
團體使用,而許多公益團體拿到紙本授權書後,又會登打進捐款資料庫中,是這
次外洩資料的最大災區。網軟曾在刑事局的調查會議中坦言,外洩數量約為六萬
筆。
更諷刺的是,多數人之所以用紙本授權書,是因為認為自己使用紙本授權書比線
上刷卡還安全。
由於資料庫沒有加密,反而在毫無警覺的情況下,卡片持續被盜刷,直到異常的
刷卡行為驚動銀行敏銳的神經,主動幫持卡人停卡、換卡。
公益團體自律聯盟總監沈怡如說,捐款人開始會打來問,自己被換卡跟公益團體
資料外洩有沒有關係,這對整體捐款生態當然傷害很大。
至善基金會原先有三千多筆使用信用卡委託授權的扣款,「從10月開始就有這種
定期定額扣款刷不過,11月單月就有188筆,」武庭芳憂心地說。
至善是案發後,最積極跟捐款人溝通,更換系統,也採取法律系統的公益團體。
天下採訪Visa組織,詢問標準流程。
針對卡號資料安全,國際信用卡組織其實有共通的支付卡產業資料安全標準
(PCI DSS)。
例如,在Visa資安藍圖中,資訊流裡任何儲存、傳輸或處理帳戶的機構都需要遵
守PCI DSS的認證,並針對不同交易量的商戶有不同等級規範。
按規定,公益團體應該要跟銀行登記將系統外包給網軟,銀行替網軟向Visa登記
註冊,納管網軟的資安標準。
準備一次PCI DSS的認證費需約40到60萬,增設設備的一次性支出可能高達上百
萬。
而案發後,公益團體才發現,網軟並沒有PCIDSS認證。
目前,網軟已決定不再儲存卡號,並準備刪除所有資料庫當中的資料,也不再處
理公益團體的紙本刷卡授權書。
薄弱的防護,資安問題需要全身健檢
================================
網軟不碰卡號了,可是仍然還有其他捐款人、志工、義賣等數個系統的資料安全
仍存在風險,也因此目前網軟正在接受顧問輔導申請ISO 27001資安標準認證。
一位資安專家表示,「網軟針對整個程式開發邏輯可能存在的漏洞,還沒有提出
系統性的解決方案,」他打了比方,這種處置像是頭痛醫頭、腳痛醫腳,但網軟
需要的其實是定期的全身性健康檢查,檢查出未知的問題,而不是等真的出事了
才去補漏。
在資安專家的眼中,網軟原先的防護薄如蛋殼,不足以確保系統能抵禦目前主流
的駭客攻擊手法。
不過在公益團體普遍缺乏專職資訊人員、資源不足的情況下,目前仍然有上百家
公益團體持續使用網軟的系統服務。
另外,外洩的個資不會再回頭。
迄今,網軟與公益團體仍不知道被駭的範圍,讓未知的資安漏洞猶如未爆彈,很
難知道駭客把這份名單做了哪些應用、也不知道下一次可能還會使用哪些攻擊手
法,可捐款人的信任禁不起一再消耗。
所以,如果捐款人有使用紙本委託授權公益團體扣款,都應該特別注意,仔
細查看每月對帳單是否有異常小額交易,開啟刷卡交易提醒,或者在不刷卡時關
閉線上交易,也可以主動向銀行要求換卡。
公益團體需要建立資安意識
========================
至善基金會在外洩事件後,在組織內配置了一位專門的資訊系統人員,也將系統
從網軟轉移到微軟 Azure上雲端,雖然系統維護年費價差多了14倍,「對民間團
體來說是辛苦的,但保護好捐款人的資料,我們責無旁貸。」
16間受到損害的公益團體準備對網軟未善盡資料保護責任採取民事訴訟求償,求
償金額從數萬至百萬不等,「每間公益團體的損害不同,有被捐款人停止捐款、
被捐款人求償,也有被長期贊助的企業中止合作。」蔡昆洲說。
對於公益團體來說,信任是最寶貴的資產,在網路時代資安問題就是信任問題,
捐款人的善意讓公益團體能夠為個案在黑暗中點亮一簇火苗,也同樣該在充滿風
險的網路環境中,為捐款人的信任撐一把傘。
-
現在金融業、醫院已需要標配資安長
以後也會是各大型上市公司的標配了。(*1)
對於一般人也不是事不關己,
在擼各支付、商店的優惠之前,先看看業者有沒有PCI-DSS認證,
卡號不要隨便進個不認識的外國網站也亂給。
不然即使銀行會處理盜刷後續,光和銀行在那來來回回就夠你煩的。
如果是自家商店要弄金流,那就更得注意相關認證標準了。
*1:
趕在2021年結束之前,金管會正式要求
臺灣上市櫃大型企業都需設置資安長,讓此要求擴及各類傳產與電子產業
https://www.ithome.com.tw/news/148662
--