公告|AICU購物商城對抗詐騙不低頭,資安升級對策。

AICU購物商城對抗詐騙不低頭,資安升級對策。

不安全,不該買。

AICU自成立以來,共發生過兩次資料遭竊後的詐騙事件。

我們衷心地對於每一個願意將神器帶回家的煮人們,您們的信賴和肯定,一直是我們最重要的資產。

因此儘管確實在網路購物的時代,個人資訊一直是最大的使用隱憂,而且似乎也已經成為社會共識,也就是一定會接到詐騙電話,不管是假裝銀行、檢察官、網路商城。

但是誠如我們自己的選品原則一樣,我們只願相信自己的眼光和自己真實使用過的手和產訪的腳步,我們也不願意進行低價競爭、不願意放到不會珍惜以及不曾真正了解過這些道具的通路、更不願每天大發行銷訊息,因為生活中已經太吵雜。

故此,我們也無法厚顏地告訴大家這是免不了的、沒辦法、不好意思,然後又繼續請大家購買。

因為倘若是我們自己也不會願意在有可能洩漏個資的情形下繼續交付自己的安全出去。

不安全,不該買。

所以本次我們採取了更積極的作法,在和購物商城平台網路公司QDM討論後,提出本次的漏洞分析和未來防止詐騙的對策。

如此,我們才敢繼續,也才有資格再次期待能夠獲得您的信賴

當然也許,隨著版本不斷更新,不論作業系統或手機,駭客永遠可以找到漏洞可以攻擊,但我們不會認輸,因為壞人不該一直這麼囂張。

特別是,當我們自己拆穿詐騙集團還遭到他們的恐嚇時。

資安流程.png

本次漏洞分析

由此圖可知,購物流程為:

  1. 使用者透過手機或電腦進入購物平台並進行下單。
  2. 付款時透過第三方金流,我們採取的是綠界。
  3. 付款完畢之後資料則儲存在網路公司設於Google的機房。

所以本次經資策會協助分析後目前只確認一個唯一的滲透路徑,也就是如圖所示一個在去年就已經沒有再更新使用的APP管理工具,駭客透過此入侵,造成此次傷害,目前除已下架之外,也已修正堵死該門,並從最近連線的 log 分析,沒發現其他成功滲透的手法 log。

同時委託具備金管會規範的資安等級的外部顧問團隊,前天剛完成全系統的檢測(外部黑箱弱掃描,內部白箱檢測),也未發現其他漏洞,但會持續追蹤。


資安升級對策

一、加強資安防火牆

像是細分更多層的辦公作業環境,增加DMZ系統和內部網路系統的規劃,並各項作業須經兩層防火牆,透過規則設定存取限制,防止非法連接以維護網路安全等,都是接下來QDM網路公司會持續加強的資安工作。

然而,儘管目前的漏洞已經堵上,但如前所說,隨著手機、電腦瀏覽器升級,依舊會有存在更新上的漏洞,因此我們也將會同QDM進行第二種主動防護的對策。

二、商城只保留近三個月訂單資料

防止駭客最重要的事情,一是防止他入侵,另一個是就算他入侵,也拿到沒有用的資料。

故此,QDM將進行分割會員以及訂單資料,並將資料和店家資料庫獨立分開。

同時我們自己也將採取訂單資料單機備份,然後將放至於網路上的訂單資料刪除,好讓未知的駭客即便侵入,也是一無所得。

而關於訂單資料查詢,您則可以透過我們一貫的FB以及Line來隨時找到我們詢問。

VIP的訂單累積升級,則我們一樣會想辦法建置單機的統計系統,確認您的消費累積金額之後,再為您手動升級,以確保您的權益。

AICU FB粉絲頁

AICU Line

line.jpeg

加入好友

Line 搜尋id「@aicu」

我們僅會透過社群工具與您主動聯繫。


為什麼不考慮Pchome等大平台?

謝謝有許多煮人們安慰我們之外,也提供建議。

確實以Pchome為首等大型購物平台,不只金流建構完整,並且購物搜尋度也和MOMO相比可說是台灣第一、第二名之爭,並且現在因為和蝦皮拍賣競爭,開店也免年費,且Pchome在許久以前發生過資料外洩後,即投入大量資金建構資安系統,相信十分可供信賴,我們也時常在這些平台購買, 然而不適用於AICU的最大問題在於:

1、比價再比價

不論Pchome或者是MOMO還是Yahoo,當我們進去之後,說實在從未在意該產品究竟是哪一個商家所經營,我們的眼光只會放在產品本身,同時進行是否有優惠、折價券以及比價的流程當中。

然而AICU所經營的其實就如同我們的主網站一樣,相信也是吸引大家願意在茫茫網海當中找到我們的原因相同,也就是我們花費最多精力進行的各項生活道具使用教學、新手教學以及使用影片等內容。

2、不利內容傳達

其次是,這些平台均不具備品牌內容傳達的需求,並且對於產品功能的介紹上更是缺乏,而我們所挑選的卻幾乎都是需要說明的生活道具,因為唯有更加了解,你的購買才不是衝動消費,帶回家之後才不會一直放在櫥櫃。

同時,我們也非常需要客戶分群的功能,只集中在一次性購物的功能性;然而AICU幾乎都是從新手變高手的熟客,VIP更是快速增加,因此我們非常需要會員管理,因為我們非常需要大家的意見,才能加以改良產品和內容。

是以,我們期待能夠繼續將精力放在內容,而不是花費心思參與大平台的各種行銷活動,以及經營購物商城,而是能花更多時間進行開發、試用和撰寫更實用的使用教學。

因此比較過所有台灣現在的購物平台系統之後,我們依舊選擇使用至今的QDM購物商城系統,並且積極地和他們一起對抗資安問題。

並再次謝謝每一位願意回報給我們,以及還願意相信我們的大家。


防範詐騙

第一階段,偽造室內電話假裝購物中心、銀行、公家單位。

凡是來電號碼為「+886 2-室內電話」都是詐騙電話請直接拒接 經這兩日將目前收到的詐騙電話號碼登錄whoscall以及165反詐騙,以及和警方求證後,警察表示凡是「+886 2室內電話」的號碼,都是詐騙集團透過電腦編造的假號碼,因此勿請直接拒接,不用再和他們對話受氣。

且我們僅會透過電子郵件、臉書以及line等社群媒體和您進行聯繫,不會透過電話,所以請勿相信。

下為側錄第一階段詐騙電話,手法多是假冒12期分期付款、簽錯成為批發商等藉口。

詐騙集團第二階段,在週末假日假裝銀行人員。

詐騙第一階段會假裝簽錯批發單變成12期分期,並往往是女聲打來說明您訂購資料,表示因人員誤植簽錯單據變成銀行會重複扣款,因此需要您告知最常用往來銀行電話(會請您說出信用卡後面電話),然後請您等待銀行來電。

詐騙第二階段是假裝銀行然後請您去操作ATM 稍等約5分鐘後,同樣是「+886+該銀行電話」的來電會顯示,但其實這是詐騙集團使用電腦改號,藉以取信。

下為側錄第二階段假冒銀行人員要求前往ATM提款機操作(後有連續不雅咒罵以及恐嚇字眼,聆聽請注意。),但此為故意側錄,請您無需冒著危險嘗試,只要一發現掛斷就好。