圖片來源: 

iThome

細數2009年度最熱門的新聞事件中,戴爾(Dell)和特力和樂(Hola)商品標錯價事件,除了被消基會點名10大消費新聞第七名外,這也是臺灣電子商務業界最嚴重的標錯價事件。

這兩起標錯價事件,造成的不只是業者營收的損失,更是企業商譽和消費者信任感的保衛戰。要如何從這樣的事件學得教訓,也成為臺灣電子商務業者的重要課題。

戴爾的標錯價事件,把一臺8千元的液晶螢幕標價為999元,引發網友瘋狂下標,甚至有店家一次下標500臺液晶螢幕。事隔不到2周,戴爾網站又再度出包,6萬元的高價商務筆記型電腦,只要換個不同顏色的款式,價格就變為1萬8千多元,同樣引發網友搶標。

在此同時,戴爾在其他國家的電子商務網站,包括美國、香港等地的網站,也陸續發生商品標錯價的出包事件。事後戴爾對外表示,第一次的出包是人為疏失,標錯價格所致;但第二次的出包則是系統流程出問題,連帶不少國家的戴爾網站也同時出包。因此,臺灣戴爾網站也緊急關站。

電子商務網站商品標錯價不稀奇,網友貪小便宜也只是人性血淋淋的展現。

無獨有偶,臺灣家具用品連鎖店特力和樂的電子商務網站,出現將定價1,000元的禮券標價成為0元的錯誤標價,同樣引發網友瘋狂下標。其中,更有一位具備資料庫背景的網友,分成2次下標,共下標64億張0元禮券。若出貨,至少損失6.4兆元,遠遠超過該公司的資本額。

即便臺北市消保官對戴爾公司標錯價事件,首度開罰100萬元,但問題在於,多數人迄今依舊不知道戴爾和Hola網站真正出包的原因,而臺灣其他的電子商務網站的業者,是否也能從這樣的事件中得到教訓呢?

戴爾電子商務網站性質較為特殊,不論是一般的消費者、企業用戶,或者是上下游供應商,都採用同樣的一套平臺下單訂貨,也因此,才會出現高達幾億元的訂購金額,網站依舊可以接受、沒有示警的現象。同樣的現象也發生在Hola網站,結帳頁面可以更改訂購數量,同樣沒有任何檢查或示警,就可以完成結帳動作。

美國白帽安全(WhiteHat Security)公司創辦人Jeremiah Grossman在2007年來臺演說時指出,該公司掃描將近1,000個網站,有將近9成網站,都具有商業邏輯流程的技術弱點。

他表示,這些商業邏輯漏洞都不見得是網站設計時,因為設計不良導致的程式漏洞,經常是與商業流程相關而導致的錯誤,目前很難用工具偵測出來,同樣也很難防禦。

就像是,Hola的網站在結帳時,數量還可以做修改,這不是因為SQL Injection或者是XSS的漏洞,讓駭客可以入侵資料庫改資料,而是系統開發過程中,結帳流程沒有做好嚴謹的檢核機制,造成有心人士有機可趁。

戴爾網站或許因為B2B和B2C共用同樣的電子商務平臺,加上該網站就算線上下單成功,仍須後續收到訂貨單確認後,才表示訂購成功,也造成該網站在價格、數量的示警上,付之闕如。而戴爾網站的系統在同時間承受大量訂單當下,網站流量承載能力雖然足以支撐,卻無法對此一爆量的流量作示警、監控,缺乏專人負責和預警的流程,也讓戴爾面對商務網站的「標價錯誤」,無法立即做有效的回應。

為什麼會出現人為的標價錯誤?價格上架前,為什麼沒有檢核機制?為什麼結帳時,消費者還可以自行更改數量?為什麼沒有結帳金額異常的示警?這一切為什麼,其實都可以歸因於電子商務業者對相關商業流程要求不夠嚴謹,導致商業邏輯漏洞產生。

對多數的電子商務業者而言,網站開了就能營業賺錢,從資訊安全的角度來看,業者的精力都在用來防範外來力量的入侵,反而忽略檢視商業流程是否有疏漏。

從2009年戴爾和Hola的事件,藉由媒體傳播鬧的轟轟烈烈,但這種情況,或許只是電子商務業者營運問題上的冰山一角。為了確保商譽,保障消費者的權益,各個電子商務業者都應該針對每一個商業流程,進行嚴謹的流程稽核,真正做到事先預警、事後稽核。商業邏輯漏洞會不會造成損失,相關業者若心存僥倖,戴爾和Hola事件已經是最好的例證。

 


相關報導請參考「回顧2009:2009十大IT新聞

熱門新聞

Advertisement