交易資料外洩：紅陽科技坦承內控疏失

針對金流交易服務發生個資外洩一事，紅陽科技今天（12/6）發表聲明道歉，並承認並非原先認為的作業系統漏洞造成，而是內部控管疏失，未來將加強管理。

週日（12/4）網友icent在網路論壇上指出，發現紅陽科技金流平台發生個資外洩。包括交易店家、消費者姓名、電話、訂單編號、交易金額、交易時間、IP位置，以及信用卡部份號碼等數百筆即時交易資料，都可透過Google搜尋得到。本週一紅陽科技獲知消息後，認為Windows伺服器漏洞導致交易資料外洩，已進行修補。

今天紅陽科技發出新聞聲明，承認外洩事件與作業系統無關，為內部人員控管稽核疏失導致資料外洩，並表示願對該事件造成的消費者或商家損失負起完全責任。

為了事後補救，紅陽科技表示已與Google聯繫儘快刪除cache的交易資料，同時也強調外洩的資料並未詳細提供信用卡完整卡號、信用卡有效日期、信用卡背面末三碼，應無盜刷問題，但仍願意負起損害全責，該公司未來將加強交易環境安全。

事實上，網友icent在論壇上舉報紅陽科技個資外洩時，紅陽科技獲知消息，一開始評估與Windows伺服器有關，但不少具有IT背景的網友認為這些「公開」的交易資料外洩來自紅陽科技的後端平台，icent也指出這次個資外洩和紅陽科技系統規劃不當有關，內外網系統未清楚分割，才會導致交易資料外露。

對於這次資料外洩事件，趨勢科技技術顧問許玴禎表示，企業發生個資外洩事件原因可分為內外兩種，一種是內部人員疏失或流程控管出現問題導致，外部則是駭客透過作業系統漏洞、網路應用程式弱點，或是社交工程的手法一步步由內而外入侵，駭客因取得管理權限而竊取資料，管理者必需時時檢視管理權限、系統中資料目錄是否出現異常，及早發現預防資料被竊。

在新版個資法通過後，企業因內部疏失或駭客入侵導致個資外洩都應主動通知當事人及合作商家，且必需善盡個資保管人角色，個資外洩時當事人也能集體向企業請求巨額賠償，對保有大筆個資的企業而言，保護內部資料不致外洩成為當務之急。