诚品与金石堂等书店型电商屡列网购高风险平台，8月另有多达35个爱心协会捐款资料外泄，上百捐款人报案遭骗最新消息

近日诚品网络书店客户个资外泄问题再度浮上台面，根据东森电视台的报导，最近诚品网络书店在短短五天内，就有上百会员被骗千万元，各大媒体也跟进引用内容，但相关报导内容存在着争议，我们洽询警方想确认此事真实性，他们表示，被骗千万应是长期累计金额。但无论如何这类事件相当严重，也再次突显了台湾电商平台的资料外泄问题。

事实上，根据165反诈骗每周公布解除分期付款的民众通报高风险卖场名单，在今年4、5月间，诚品网络书店就屡屡列入，当时许多网友或受害者指出，对方不仅假冒诚品的客服人员，还能清楚说明订单内容、日期、金额，以及住址等资讯，有些民众更是因此误信对方而上当，导致遭受ATM解除分期诈骗。对此，我们也联系诚品，了解4月就传出的客户个资外泄问题，是否发布相关资安事件公告，但他们不愿多谈。

在8月初第一周，诚品网络书局再度被165公布为最严重的电商平台，由于过去警方曾表示，每次诈骗高峰期通常持续2~3个月，这也意味着，近期可能还会有一波假冒诚品客服人员的ATM解除分期诈骗，需要当心。而在8月17日中午，Whoscall与165全民防骗的脸书粉丝专页上，也发布宣导贴文，他们表示，伪冒诚品电话的数量飙升，提醒民众注意。基本上，最要的还是要知道，应自行搜寻正确客服电话并去电确认，以及ATM操作没有解除分期的功能。

但更要注意的是，今年不只是诚品网络书店资料外泄情况严重，金石堂网络书店、Booking.com、HITO本铺，以及小三美日等，同样面临客户资料外泄问题。特别的是，今年8月还有新的网络攻击趋势，有多个慈善爱心协会，同时遭遇客户资料外泄问题。

在8月17日中午，Whoscall脸书粉丝专页指出近期伪冒诚品电话飙升，提醒民众要注意诈骗号码特征。

另外值得注意的是，过去诈骗集团也曾结合二类电信让来电号码的显示，可以与真实号码一模一样，因此民众应要有相关认知，最好的方式，应自行搜寻正确客服电话再三确认并去电联系，以及要知道ATM操作没有解除分期的功能，就不会被话术所骗。（图片来源：撷取自Whoscall脸书粉丝专页）

在165反诈骗咨询专线公布的110/8/2-110/8/8民众通报高风险卖场中，诚品网络书局与金石堂网络商店又名列前两名。特别的是，还有多个爱心协会同时入榜。

第二季诚品网络书店以310件最严重，金石堂175件次之

在2021年上半，台湾有那些电商平台遭遇客户资料外泄问题？我们联系刑事警察局股长洪国伦，他表示，近年165反诈骗每季公布相关统计数据，警方在接获大量民众通报后，由于假冒客服的诈骗者都掌握了客户个资与订单明细等资讯，因此也针对这些疑似个资外泄电商，进行相关反诈骗宣导。

从今年上半的概况来看，刑事局受理“解除分期付款诈骗（ATM）”案件，多达1,675件，较去年同期增加255件。

以第一季而言，民众通报5大高风险卖场，分别是HITO本铺（121件）、GOMAJI（107件）、Booking.com（102件）、DR情趣（95件），以及Check2Check（94件）。

第二季民众通报5大高风险卖场，分别是诚品网络书店（310件）、金石堂网络书店（175件）、万年东海模型（147件）、婕洛妮丝计（144件）与 Booking.com（119件）。

综合来看，以网络书店类型电商平台的通报量最大，像是：诚品网络书店、金石堂网络书店，都相当严重，至于前三年连续列为年度5大高风险卖场的读册生活，在该公司董事长去年表明要强化资安后，今年显然好转。

洪国伦表示，Booking.com的客户资料外泄问题去年同样备受关注，后续该业者虽然换过资讯服务商，但今年又连续两季入榜。

此外，HITO本铺、小三美日、GOMAJI也是近年榜上常客，而万年东海模型、婕洛妮丝计同样值得注意，今年新入榜，且通报量不小。因此，其会员也应关注这些业者的资料外泄情形。

假冒电商诈骗横行多年，根据刑事警察局统计，我们可以发现，在2019年与2020年，小三美日与读册生活就曾连续两年名列年度5大高风险网购平台，而国内大型网购业者在2020年也首次列入年度高风险卖场。

爱心捐款协会也被诈骗集团锁定，捐款人资料遭窃

另一值得关注的攻击与诈骗趋势，警方提醒，现在诈骗集团除了针对电商平台的客户数据库攻击，也会锁定爱心捐款组织。

洪国伦表示，在7月底、8月初，他们接获了多起民众通报，都是对方掌握被害人姓名、电话、捐款金额等资料的诈骗案件，最初通报对象包括台湾乐作创益协会、中华育幼机构儿童关怀协会、弘化同心共济会、台湾防盲基金会、中华民国儿童癌症基金会，以及爱盲基金会等。

接下来，出现多起通报的还有育成社会福利基金会、第一社会福利基金会、沐风关怀协会、微客公益行动协会与导盲犬协会，到了8月中旬（至16日止），警方统计下来，已经多达35家这类的爱心慈善协会发生个资外泄，警方现阶段总计接获超过120件民众报案，财损超过1600万元。

后续诈骗手法则如出一辙，大多利用ATM解除分期诈骗取财，只不过诈骗话术略有差异。对方以工作人员操作错误，导致网络汇款变成分期付款或定期扣款等名义，打电话给捐款民众，再谎称至ATM输入解除错误密码，但实为诈骗方受款账户，混淆民众。

这起事件另一特殊之处，是这些协会都委托同一资讯系统服务商。洪国伦表示，遭入侵的管道有很多种，他举例，包括对方透过撞库攻击取得系统存取权限，以及伪装客诉信寄送钓鱼文件，一旦客服人员点击暗藏木马的该文件或连结，之后骇客就能一步步取得受害公司员工的存取权限，窃取客户个资，再将这些客户个资往外传送。

关于上述事件的目前调查进度，刑事局研发科还在与系统商厘清相关资讯，以及进行相关资安检测。另外，洪国伦指出，诚品网络书店与这些慈善协会并非使用同一系统资讯商，属不同事件。

配合警方发布反诈骗警语，业者本身却无公告客户个资外泄？

为了避免民众遭受后续的诈骗，警方在接获通报当下，都会通知业者，需在官方网站进行反诈骗警语，并以电子邮件或简讯通知会员，并提醒平台强化资安防护，但这些事件为何持续出现？因为有很多问题一直没有解决。

除了业者要强化资安，他们也应该重视资安事件公告的发布，让民众知道事件调查、影响范围，以及受影响者该如何因应。

然而，有许多受害电商平台只发布防诈骗警语，却未正式发布客户资料外泄公告。尽管有些民众看到警示，可能就猜得到该业者可能有客户资料外泄状况，但这样隐晦、间接的资安事件发布方式，是否合理？随着个资法宣导多年，让企业准备，现在-又该如何采取对策？

毕竟，业者只发布防诈骗警示，不一定代表他们真的受害，有可能只是配合-政策。像是今年过年前夕，出现大规模假冒银行钓鱼简讯诈骗，由于接连有银行被假冒，因此警方也呼吁各家银行先发布警示，因此，对于其他银行而言，传达这些资讯并非表示自身已遭假冒，而是先行提醒。

而从法规面向来看，根据个人资料保护法第12条规定，公务机关或非公务机关违反本法规定，致个人资料被窃取、泄漏、窜改或其他侵害者，应查明后以适当方式通知当事人。

关于个人资料法的求偿，之前我们曾报导过2017年EZ订个资外泄客户遭骗判决出炉，最终是业者应付起7成部分责任，但多数民众可能往往不知道这可以提告。同时，民众对业者提出集体诉讼的状况不兴盛，也是导致业者消极、被动应对的原因，过去曾有成功获得赔偿的案例，例如，关于雄狮旅行社资料外泄事件，受害者提出集体诉讼，一审虽然败诉，但到了二审后，此案在2020年7月终于进行调解，该案消费者并获得赔偿金。