有民眾反映在蝦皮綁定的信用卡疑似遭到盜刷,擔心個資外流。數位部政務次長李懷仁4日表示,已請業者限期要求提供調查資料,後續進一步了解是否有資料外洩,若無法釐清會請金融機構協助或請檢調調查;蝦皮則表示,平臺不會留存消費者的信用卡完整卡號,因此無可能外洩個資。
根據內政部警政署的統計資料顯示,蝦皮購物一直被列為高風險賣場之一,近日不料又有民眾表示,自己在蝦皮上的資料疑遭外洩,綁定在蝦皮的信用卡遭到小額持續性的盜刷,呼籲大家檢查綁定在蝦皮的信用卡是否有國外小額刷卡記錄。
對於蝦皮購物疑似再度出現個資外洩,主管綜合性電商的數位部4日回應,目前有注意到此狀況,後續還有待觀察。
李懷仁表示,目前尚無法確定是否有資料外洩的狀況,或真的出現盜刷,已跟蝦皮聯繫提供調查資料,後續將再進一步了解是否真的出現個資外洩,至於盜刷問題,數位部並不是金融機關,所以無法判斷。
李懷仁說,已跟特定電商了解個資的使用情況,要等業者提出更詳細的資料才能釐清狀況。不過個資外洩也不僅是從業者端流出,有時消費者未做好保護也可能會被盜用,而且若是業者端流出,應該會出現大規模盜刷的事件,但目前並未看到這樣的狀況,不過還是會請業者提供相關調查資料才能釐清,若無法釐清,要請相關金融機構協助,後續就要請檢調來辦理。
另外,先前數位部產業署也提到,接下來也會針對被內政部警政署列為高風險賣場的電商平臺進行主動巡檢,其中蝦皮購物以及旋轉拍賣將是重點檢查對象,主要就是希望能在出現個資外洩前就預先防堵,避免出現大規模個資外洩事件。
對此,蝦皮購物表示,蝦皮平臺不會留存消費者的信用卡完整卡號及安全代碼(CVV),而是用戶端透過加密傳輸至銀行端驗證,加密過程符合國際組織PCI-DSS安全認證,因此平臺無可能外洩消費者信用卡資料。
不過有網友實測發現,在蝦皮App綁定信用卡後,向商家下訂單並以信用卡付款時,竟沒有寄發OTP(一次性密碼)認證簡訊,而是直接扣款;意即若有人取得民眾的蝦皮帳號密碼,即可直接以綁定的信用卡購買商品,缺乏其他驗證機制。
協助外館資安健檢 中製產品造冊管理
另外,針對審計部2022年度中央政府總決算審核報告揭露,外交部截至去年底111個駐外館處中,有31個使用有資安疑慮的設備或服務,不合格率近3成,恐成整體資安防護缺口。
李懷仁表示,「危害國家資通安全」產品,公部門並非都不能使用,而是原則上禁用;但若有必要使用,必須簽報資安長核准、造冊列管。
李懷仁說,有些外館確實因為當地市場的關係,業者提供的資通訊產品只有中國製,這時就要依規範簽報外交部資安長核准,造冊列管,並且強化資安檢查;這部分數位部也有和外交部保持密切聯繫,目前並沒有發現重大資安事件。
李懷仁強調,數位部有協助、參與外交部的資安健檢,其中外館涉及很多機敏資料,是由外交部主導,而數位部和國安單位都會去參加資安健檢,數位部也有同仁會親自飛到當地外館協助檢查。