【大纪元3月8日报导】(中央社记者孙承武台北8日电)面对层出不穷的诈骗案,民众百思不得其解“个资是怎么外泄的?”。警方今天找到答案“SQL Injection”(资料隐码攻击)。
刑事局科技犯罪防制中心指出,所谓的“资料隐码攻击”(SQL Injection),就是利用网站程式存取资料库的漏洞,将恶意指令嵌入资料库SQL查询语言,借此欺骗资料库的逻辑判断,进而取得能够执行资料库指令的权限,这已是具10年以上历史的老问题,近年来发展成自动化攻击工具。
警方分析,国内网路成长带动电子商务蓬勃发展,而民众消费转向电子商务活动热络,造就国内购物网站如雨后春笋般林立,加上民众选便宜心态,罔顾交易网站本身是否具备足够安全机制,纷将个人资料上网填写,为了一时便宜却卖了自己隐私安全。
近年来网路交易个人资料外泄,诈骗集团利用来伪冒成商家客服人员名义,打电话给被害人以“操作 ATM解除分期付款”诈欺手法,成功骗取汇款,这类案件层出不穷,主要归咎原因为小规模业者或个人工作室,仅以简易套装软体及架站工具,甚至是免费或盗版软体,来建构电子商务网站,提供客户订购商品,鲜少投入一定预算与人力在资安防护工作,使得拥有大量交易个资的购物网站及卖家电脑容易成为骇客锁定入侵目标。
刑事局举微软公司委托IDC国际数据资讯制作“IDC2013 非正版软体危险调查报告”,有45%的使用者会透过网站或P2P程式下载盗版软体,而这些网路下载的盗版软体,其中有78%藏有间谍软体,36%附有木马程式。
这些恶意程式不仅会停止电脑的自动更新功能,还会将网路防火墙关闭,骇客透过木马程式入侵用户电脑,纪录用户电脑的每个键盘动作,包含浏览网站、输入网路银行的账号及密码等。
甚至能远端开启用户电脑上的网路摄影机(Webcam),将电脑前的画面透过网路传出去,不仅用户个资外泄,甚至连个人隐私都被看光;且每一次感染病毒或恶意程式后,公司营运机密资料遭窃所造成的损失及花费在电脑检测与资料回复上的支出相当可观。
刑事局呼吁电子商务业者,应多重视网站本身安全机制,例如网站本身尽量勿委外设计、聘请专属网路与资讯管理人员、架设防火墙、防毒软体、不定期检查网站纪录(LOG)、不开启来路不明恶意程式、定期接受资安训练等。
尤其“个人资料保护法”已于去年10月1日正式实施,使用盗版软体或来路不明的破解软体,除了容易造成个人及企业用户庞大金额损失外,还得承受交易个资外泄与个人隐私遭受侵犯的风险,且每当系统有重大更新时,无法即时更新系统漏洞、防范骇客入侵,更是造成难以估计的损失之一,因此,企业与个人用户在选择系统软体安装应透过正常管道与合法授权,以保护消费者个人资料与隐私权。
