Zappos資料遭駭客竊取 用戶務需更新密碼自保

如果你曾經在Zappos上買過東西，那麼不妨馬上把自己經常在網路上購物、網路銀行交易使用的電子郵件與密碼更換一下。因為這個亞馬遜(Amazon)旗下的全球知名線上鞋店，在週日（15號）坦承，該公司的顧客資料庫遭到駭客攻陷，該公司高達2,400萬名用戶的資料，可能已遭竊取。

不過由於Zappos的交易遵守支付卡資料安全標準(PCI-DSS)，因此用戶付款時輸入的信用卡、金融卡號等資訊，都已經被加密，因此駭客並未取得這些敏感資訊。但一如多數線上零售業者慣用的作法，Zappos並沒有把用戶的電子郵件與實體地址、聯絡電話，以及信用卡號與登入密碼的最後4碼加密，這讓駭客仍可取得「部份」使用者的個人資料。

一般而言，零售業者並不會對PCI-DSS標準規定以外的資料進行加密，因為加密將會降低網站的運作效能，資料庫安全公司Identity Finder執行長Todd Feinman表示。PCI-DSS標準是Visa與Mastercard組織強制要求採行的安全規範。Feinman表示，就技術而言，要把網路交易時的資料加密範圍從信用卡號擴及其他的用戶資料，其實相當簡單。「Visa和Mastercard致力於保護信用卡號碼，但沒有任何人在努力確保消費者的個人資料，例如電子郵件等落入駭客的手中，」Feinman說。

有愈來愈多的電子商務業者把用戶的電子郵件當成使用者帳號，而多數消費者並不明白這樣的作法所隱藏的風險。許多用戶在不同的網站交易服務上，使用相同的電子郵件帳號與密碼，網路犯罪者不但了解此點，也一直努力利用這項弱點來發動攻擊。

Zappos的用戶最好提高警覺，因為緊接著而來的，可能有許多網路釣魚信件準備要誘導用戶輸入自身的敏感資料，例如社會安全碼，或是引導用戶點擊看似正常，但卻藏有惡意程式的網頁。

更值得留意的則是，駭客們很可能會把用戶在Zappos上的電子郵件與密碼，用來登入其他的線上帳戶。「駭客們將會嘗試從密碼檔案中找出使用了弱密碼的帳號，而這些用戶很可能在其他服務上重複使用同一組密碼，」認證硬體製造商Yubico執行長Stina Ehrensvard表示，「我們很可能馬上會看到這些被竊取的資料，在未來幾天內在其他網站上被使用。」

駭客們也很可能會設法使用受害者的信用卡最後4碼。「這個資訊顯然能夠在釣魚行動中用來取信於消費者，讓他們把釣魚郵件當真，」Feinman分析。

Zappos則正在寄發電子郵件給消費者，要求針對他們的Zappos帳戶設定新密碼。Zappos同時還建議用戶，若有在其他網站使用相同或類似的電子郵件帳號與密碼，最好趕緊把密碼換新。「我們花費了12年建立商譽、品牌與客戶的信任，」Zappos執行長Tony Hsieh在部落格聲明中表示，「如今一個單一意外事件就讓我們的成就退步許多，實在令人心痛。」

值得注意的是，就在Zappos資料外洩事件發生前不久，Stratfor.com也才坦言，在2011年平安夜遭到駭客入侵，竊取了超過5萬筆的用戶資料，這些包含信用卡號、帳號密碼等的資料，甚至被駭客組織公布在網路上。

事實上，2011年顯然是資料外洩消息搶占頭條新聞次數空前地高的一年，包括Sony、Google、美國銀行、RSA、洛克希德(Lockheed)、Epsilon、Nasdaq Directors Desk，以及美國商務部等企業與組織，都曾經受到影響。

資安與科技專家指出，類似事件的作案手法，將在2012年持續發生。舉例來說，不少企業系統遭到入侵的案件，都是從單一員工點擊了惡意網頁連結，或是開啟了惡意附加檔案開始。這些含毒的訊息有的來自看似可信的電子郵件來源，但也有愈來愈多是透過Facebook或Twitter等社交網站所傳遞。

而愈來愈普遍的檔案分享應用軟體，由於同時安裝在工作用電腦與私人的行動裝置上，等於幫駭客增加好幾倍的入侵機會。事實上，就連規模最大、最先進的企業組織，都顯得弱點重重。「這（事件）顯然已經為2012年的發展埋下伏筆，」Feinman說道。「這些類型的事件，未來這一整年都將持續看到。」

Yubico的Ehrensvard也同意Feinman的看法。他表示：「在企業的執行長明白什麼都不做的代價有多高，並且開始對員工提出困難的要求以前，我們會不停地看到資料外洩的事件持續發生。」她並補充，「企業執行長把用戶資料安全保護的責任推給其他人是無法接受的，他們必須明白，只要資料被偷了，他們就該負責。」

資安專家表示，Zappos的資料外洩事件突顯了企業必須重新評估堆積如山並不斷增加的用戶資料可能關聯的風險，並且應該慎重考慮加強資料庫安全防護，其中又以線上零售業者更應注意。

「隨著愈來愈多的消費者選擇上網購物，對零售業者來說，監控惡意活動與保護用戶資料，將變得更為關鍵，」資料監控業者LogLogic行銷長Mandeep Khera表示。「這些努力付出可以協助保護品牌價值，同時避免違法所帶來的懲罰。」

Cenzic執行長John Weinschenk則對Zappos在此事件發生後，主動告知的透明度給予肯定。「Zappos在使用者資料外洩後的回應作法，其他的組織應該好好學習仿效，他們清楚並簡要地告知用戶到底發生了什麼事，哪些東西遭到竊取，以及這些事件對用戶來說代表什麼意義。」

「Zappos一開始就對這起攻擊與資料外洩事件採取透明的作法，現在Zappos則需要向用戶證明自己在未來能持續被信任，並且能夠保護好消費者的個人資料。這將是一個持續的過程。」