5 月 13 日晚上,作者在瀏覽 Facebbok 時就看到網友所發佈的訊息:BBS 站「台大 PTT」傳出,中國信託金融控股公司旗下的中信銀網路銀行,疑似有個人資料外洩問題,可以在繳費中心功能的頁面上搜尋到客戶的電話與姓名等資料。
可惜作者動作太慢,沒能在試著查詢一下是否有自己的個資在其中(作者也是中信銀的存戶之一)。
- 中信銀不排除有心人士破壞,將會加強監控、追踨
而中信銀稍後對此事件表示,13 日晚上 9 點,接獲客戶反映網路繳費資訊出現異常狀況,而資訊與網路銀行等相關部門隨即展開了解,為了清查相關原因,在晚上 10 點已先行關閉網路銀行的「繳費中心」功能,經過緊急處理後,「繳費中心」於 14 日凌晨已恢復正常服務,至於網路銀行的其他功能,如查詢、轉帳交易等功能則正常運作,並未受到影響。
中信銀並強調,繳費中心常用帳號設定功能,是客戶自行設定透過網路繳交電費、電信費、有線電視費等繳費項目及代號,與其他功能無關,因此,網路銀行等交易資訊等並未受此事件影響。
至於為何網站會發生個資外洩,中信銀不排除有心人士破壞,正進一步追查中,並向警方備案;中信銀強調已加強監控、追踨以防止類似事件再次發生,另外也委託鑑識單位協助調查。
- 有沒有可能是資料庫設計不完備?2007 年也曾因系統設計不完備導致個資外洩
雖然有人推測,事件的發生可能導因於資料庫程式設計不完備,導致查詢資料條件過於寬鬆,以致於讓使用者能搜尋到的資料遠多於其權限所賦予的。當然,也有人猜是不是遭到菲律賓網軍所駭?
其實,這不是中信銀網路銀行第一次發生設計上的瑕疵,2007 年也發生過網路銀行的帳戶資料外洩事件。當時有資安專家指出,這個網路銀行系統設計的瑕疵,可能是 Session ID 沒有跟使用者的電腦綁定(Binding)所致。
也就是當網路銀行的使用者登入系統之後,網路伺服器會產生一個 Session ID,用來代表使用者的電腦,在使用者瀏覽網頁的過程中,網路伺服器就可以利用這個 Session ID 來識別不同的使用者,以提供相對應的服務。
若 Session ID 沒有跟使用者的電腦 Binding,使用者(甲)在登入系統後,在尚未登出系統或關閉網頁之前,若把 URL(Uniform Resource Locator,資源定位器)傳給其他人(乙),由於該網址已帶有 Session ID,所以,在乙的電腦上也可以同步瀏覽甲的帳戶資料,如此,乙就可以跳過系統登入的程序。
- 若技術人員若不重視細節,所有的品質問題必定層出不窮
當然,這次事件的主因為何還不清楚,但,追究問題的源頭,還是系統程式存在弱點或更新前的程序不夠嚴謹,才會導致個資外洩的問題。
莫非定理(Murphy’s Law) 就指出:「凡是可能出錯的事必定會出錯」。因此,任何事件,只要有大於零的發生機率,就不能假設它不會發生。從中信銀網路銀行事件可以了解,若技術人員若 不重視細節,所有的品質問題必定層出不窮;若能深入細節,就能防範重複的問題一再發生。