lancer 2011-12-5 22:47
紅陽科技線上金流平台交易資料外洩!
提供第三方線上支付服務的紅陽科技線上交易平台傳出資料外洩,包括交易店家、消費者姓名、電話、訂單編號、交易金額、交易時間、IP位置,以及信用卡部份號碼等即時的交易資料,都可在網路上查詢得到。紅陽科技已經緊急修補網站漏洞,並預計在周三發佈新聞稿對外說明。
<br>
<br>
周日(12/4)晚十點鐘左右在Mobile 01論壇上出現一篇以「<01獨家新聞>線上交易平台漏洞,洩漏個人購買資料~」為題的文章,文章以網路截圖指證歷歷表示,此漏洞資料是即時更新的,作者並表示之前買完東西馬上就有人(暗指詐騙集團)來電說繳款失敗!
<br>
<br>
紅陽科技協理李宏鑫表示,早上在得知此事後,發現是Windows伺服器的安全漏洞所致,因此已立即進行修補;另外也已經請Google刪除搜尋的頁庫存檔資料。對於漏洞詳情李宏鑫未多所說明,但他坦承,此事件讓公司可能評估改用Linux。
<br>
<br>
對於有多少資料外洩,紅陽並不確定,但表示,早上發現時Google庫頁存檔資料約可查到300筆;iThome記者在下午四點左右查詢時約可查到近
200筆。另外,根據Mobile01上署名為ient的網友表示嘗試改code之後,可以追朔資料到11月份。如果真如ient所言,那麼資料外洩的數
字將遠比上述數字更加嚴重。
<br>
<br>
在後續處理方面,紅陽預計請客服專員向合作店家直接說明,而消費者方面則會透過e-mail或簡訊通知,另也會在周三發佈新聞稿對外說明。
<br>
<br>
據李宏鑫表示,公司合作的商家約3000家左右。不過,依據紅陽科技網站所提供的公司介紹,2005年時所提供的「 e`safe
代收代付金流服務」機制全台灣已有超過 4500
家企業及商家簽約採用,已有超過200萬人次的消費者使用過MSTS機制支付其日常消費。2005年每月透過「MSTS全方位金流服務」的流量高達
2.5億元,預估金流流量於年底前將達到每月 5億元。
<br>
<br>
李宏鑫表示,洩露的資料並未包含信用卡的完整資料,因此消費者不用擔心因此會被盜刷。另外,他也強調紅陽在資安上的重視,並表示紅陽已通過Visa及Master Card的PCI DSS認證。