今年九月,知名連鎖家具店HOLA驚爆網站千元禮券下單標錯價事件,1千元的禮券標成0元,導致網友猛下單總計下單64億筆、折合禮券金額約6.4兆元。對此HOLA發表書面聲明表示,是因為駭客入侵才會標錯價,已報案處理並會積極配合警方偵辦。但兩個月後的今天,循線追查後續處理:因HOLA根本提不出具體log證據,警方根本無從追查所以並無受理!
Hola稱這起事件起因駭客入侵,但卻從未出示電腦清查資料,無證據證明自己也是受害者。雖說事後HOLA有對下單消費者進行賠償政策以示負責,但從網路業主在網路消費平台的資訊安全控管上,這起事件有許多地方值得做更深度的探究。所有資訊安全事件若因控管失職而追查不到原因,就歸咎無形的第三方「駭客」來免責,不僅對消費者不負責任,仍有諸多可議之處,好比說:1千元標錯成0元這個動作是人為疏失,不小心打錯了?駭客進入系統之後又將log紀錄刪除,「來無影、去無蹤」不讓業主找到任何可能證據,所以報案不成?還是業者在權限控管設計上出了狀況,未能檢查使用者身分、權限,就能將原本需要點數兌換的禮券,用0元買走。「失控」的因素比較有可能是:內部人為疏失、系統權限控管不夠周全。
網路平台業者是否願意負起追根究底的責任,沒人能管。但若業主本身沒有積極主動負起系統控管之職,除非有狀況發生,否則也無任何法規促使業主在商務網站消費平台上,積極善盡資訊安全控管的責任。HOLA禮券下單標錯事件,循著任何可能因素層層抽絲剝繭,牽扯人事與系統控管的問題雪球,只會越滾越大。若能找到一個「最能負責的兇手」當屬如空氣般不存在的「駭客」!
於是當兇手變成是「駭客」時,「駭客」就能背起黑鍋負起「全責」,警檢方對這種找不到兇手的棘手案件,調查意願亦意興闌珊,那該負責任的業主便既是無辜又能一身輕。若從資訊安全角度深入思考這起事件,「駭客」都能變成救「事」主,還真的是一個天大的笑話。隨著網路消費習慣的改變,企業主在網路資安問題預防與面對解決問題的能耐,往往容易在如此透視度極差的現實下,「有選擇權」的導演、編劇兼演員,讓真相石沉大海。
(圖片來源:HOLA官網)
http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5435
|
沒有留言:
張貼留言