根據今年6月11日蘋果日報報導，驚傳東森購物有大筆個人資料外洩，並有名叫「阿哲」的人，在網路上釋出8,000筆「示範用」東森購物客戶交易資料。對此，受理報案的刑事警察局偵一隊已經要求東森購物，必須先清查有哪些資料庫的資料遭到外洩再行分案。而東森購物則表示，經過股權和經營權轉換，新的經營團隊概括承受原有東森購物的權利義務，並積極強化相關的客戶資料隱私確保作為，預計年底取得ISO 27001資安認證。


阿哲版外洩個資是拼湊不同資料庫資料而成
本刊循線在網路上取得的蘋果日報報導阿哲所釋出的、示範用的4千筆個人資料，可以看出這份2008年11月7日的東森購物的客戶資料相當完整，包含購買客戶完整姓名、聯絡電話、寄送地址、購物品項、分期期數、完整的信用卡號碼、發卡銀行及有效截止月年。從這份資料的完整性，可以確認該份資料並不是所謂駭客入侵或者植入木馬程式取得的個人資料，應該是從東森購物內部外流的客戶資料。

東森購物在2008年曾經出現股權和經營權轉換事宜，但東森購物強調，股權移轉及經營團隊變更，並未改變東森購物的法人主體，因此不影響東森購物會員的權利義務。也就是新的經營團隊，會完全承接舊東森購物相關的權利與義務。

此次東森購物在得知有客戶資料外洩，並有示範檔案在網路上流傳時，已於6月10日向刑事警察局偵一隊報案。刑事警察局偵一隊組長邱紹洲表示，在接獲東森購物報案後，刑事局在第一時間也出面協助東森購物移除網路上能夠取得示範個資網路連結。在6月11日上午稍晚，已無法透過關鍵字取得該份示範個資。

從阿哲版東森外洩個資可以發現，該份資料是整併多個東森購物內部資料庫所彙整的資料。據熟知內情人士指出，東森購物記載卡號的資料庫，與客戶訂購品項的資料庫是分開的，但從阿哲版示範個資的內容比對發現，購買品項與信用卡資料已經過「阿哲」做資料整併。該知情人士表示，比對這分外洩的個人資料就會發現一些錯誤，例如有許多客戶購買品項與日期、甚至是個人資料、信用卡資料等，都出現移花接木現象。

這份外洩個資發生資料整併錯誤的原因並不清楚，但為了釐清案情，邱紹洲表示，刑事局也已經要求東森購物必須從該外洩個資的內容上，儘速清查是彙整那幾份資料庫的相關資料。

看更多雜誌 »