PayEasy 購物網站遭入侵…？

剛剛在聽廣播時，聽到一個消息，他說「PayEasy購物網站遭入侵」，上Google新聞一看，果然有相關新聞，不過不是「入侵」這個強烈的字眼。繼博客來、金石堂、東森購物等公司遭殃之後，又一個購物網站的安全性事件，，

不過奇怪的是，我聽中廣的新聞說的是「PayEasy購物網站遭入侵」，可是中央社的新聞卻不是這樣寫的，被入侵跟「網路犯罪資料拼圖」似乎差很多說，不知道實際狀況是啥哩？後來找到PayEasy的新聞稿「◎PayEasy資訊安全聲明稿◎ 」附在本文最下方，給大家參考一下。

總之，最近似乎是改密碼的季節啊…

網路犯罪資料拼圖 PayEasy籲網友更改密碼  

2007/12/11 20:52:00

（中央社記者韋樞台北十一日電）網路購物業者康迅數 位整合本週一發現公司網站在9日晚間遭中國及香港等 特定IP異常大量登入，研判極可能是網路犯罪集團的偵 測行為，目前已全面封鎖相關IP，有個資外流風險的會 員，已凍結帳號及密碼，並向刑事局報案。這種行為如 同「資料拼圖」，網友最好儘快上網更改密碼。

PayEasy公共事務推展部經理陳中興表示，一個新 的網路犯罪集團最近一兩個月以來，陸續以外界四處流 竄的大量個人資料，運用「資料拼圖」的手法，拼湊成 足以詐騙消費者的「有用訊息」預為詐騙之用。

第一波目標已鎖定各網路與電視購物的企業網站， 正企圖利用這些被拼湊成的客戶資料來詐騙。由於消費 者可能同時在許多不同網站登錄為使用者，也可能使用 同一組帳號密碼在不同網站登錄，PayEasy除了提醒消 費者外，同時也呼籲其他網路同業一同防範。

 

陳中興指出，儘管此事有可能造成網友的恐慌，但 身為網路詐騙集團的侵害目標，但這已經是全體產業、 整個社會所面對的共同問題與挑戰，縱使有可能動搖網 路購物者的信心，但仍願意將這個經驗公開出來提醒消 費者，不希望再有任何一名無辜消費者因此遭受詐騙而 蒙受損失。

陳中興說，在PayEasy封鎖數個特定IP前，這些可 疑IP共利用3萬9000筆事前非法取得的帳號與密碼，企 圖登入PayEasy網站，其中59%並非PayEasy會員；27%會 員帳號正確，但密碼錯誤；對於近14%約5400多筆被測 試得逞的會員帳號已被凍結交易功能，同時以簡訊、電 子郵件緊急通知帳號擁有者，請他們立即更改密碼，即 可恢復正常交易。

他強調，PayEasy的資管專家分析發現，網路犯罪 集團事前已從四面八方取得大量個人資料，包括身份證 字號、電話、地址、出生日等，以及網站登入資料，例 如帳號、密碼、交易紀錄等，進行「資料拼圖」，目的 是拼湊成足以詐騙消費者的「有用訊息」。

至於詐騙能否成功，關鍵在於取信被害人，這次挑 上PayEasy並大量登入，目的是在比對他們手上的資料 名單，找出哪些確實是PayEasy會員。

全文：按這裡

PayEasy聲明：

◎PayEasy資訊安全聲明稿◎

各位敬愛的PayEasy會員：

近月以來國內各大購物網站、電視購物業者頻傳所謂「個資外洩」事件，我們是最安全的購物網站，在PayEasy重重把關下，我們再次確認會員資料庫安全無虞，但請注意一種新型態網路犯罪手法─「資料拼圖」正在釀醞中，請容我們作以下說明：

 

我們很明白公告此事可能影響您的消費信心，但不管別人怎麼做，我們仍決定不計代價要讓您了解這個事實，我們盡全力保護您的交易安全，也期待您的配合。

最近一兩個月以來，疑似有新的詐騙集團利用外界四處流竄的大量個人資料，逐步拼湊成足以詐騙消費者的「有用訊息」，預作詐騙之用，目前我們所發現的犯罪手法是：

歹徒利用到處蒐集而來的會員帳號與密碼，不斷以人工登入方式，測試每一組帳號與密碼所歸屬的網站，目的是比對歹徒手中已掌握的消費者資料，下一步可能利用被「測試成功」的帳號及密碼窺視消費者交易資料，當掌握這些交易資料後，他們可能會假冒客服人員，打電話給這些被「測試成功」的消費者，消費者一旦接到歹徒電話，可能因為對方能正確說出交易內容，因而不疑有他，因此可能受騙。

 

PayEasy的資管人員12月10日（一）發現，我們的網站在9日晚間出現特定IP位址大量登入本站，經研判極可能是網路犯罪集團的偵測行為。為保護會員的安全與權益，PayEasy資管人員在10日上午10點，已全面封鎖這些可疑IP之連線，我們同時也凍結部份有個資外流風險之會員帳號及密碼；很抱歉，為了維護您的交易安全，我們不得不作此處置。

如果您發現鍵入正確帳號、密碼，仍無法登入本站時，請主動上PayEasy網站操作更改密碼手續，或來電客服電話0800-023-008或02-33169019，經客服人員確認身份後，我們會補寄密碼函到您的E-mail信箱，再請您重新登入即可繼續購物。

如果您想了解您的帳號與密碼是否有外流風險，請您在12月12日上午10點以後，上PayEasy網站，登入會員中心，我們將會告訴您是否有必要更改密碼。

我們建議您在不同網站使用不同的帳號及密碼，並且強烈建議您儘速修改您經常瀏覽的網站密碼，不要讓歹徒輕易比對出您所登錄的網站，即可避免詐騙集團的騷擾。

萬一您仍接到自稱PayEasy客服人員的電話，且要求您操作ATM或要求您透露您的存款餘額，我們提醒您，PayEasy不會主動要求會員更改結帳方式或提供個人資料，更不會要求您去操作ATM，若接到類似訊息，請拒絕回應並與0800-023-008或02-33169019客服電話連絡，或直接撥打刑事局防詐騙165專線電話查詢。

我們除了已向警政署刑事警察局報案之外，PayEasy已由資管人員執行24小時全天侯即時監控，我們會拒絕可疑的不法登入，以保護所有240萬會員的安全。

最後，PayEasy祝您天天平安喜樂

PayEasy康迅數位整合股份有限公司
總經理 敬上

全文：按這裡

很顯然的，PayEasy的公關處理似乎比博客來迅速明快，可惜PayEasy的網站做得似乎很可怕，只要用Firefox一開，馬上死當，以前這樣，現在還是。不知道是Firefox的問題還是PayEasy那邊出問題…總之，PayEasy是個對IE以外的瀏覽器很不友善的網站就是了。