WiFi 危機 – 提防店鋪信用卡資料被奪

您認為在店鋪或食肆內使用信用卡比網上使用安全嗎？大部份人的答案會是肯定的，因為他們都認為在互聯網上使用信用卡的風險比在現實世界中使用大得多。而假信用卡橫行，更有歸咎網民於上網時的保安意識參差，或是誤中網絡釣魚（ Phishing ），或是引至黑客入侵電腦，因而導至有關資料被竊。

但事實證明在一間信譽良好的大型零售企業中使用信用卡而發生資料被竊的情况亦非罕見。大家也許還記得本年三月各大小傳媒都有報導一宗全球歷來最嚴重的信用卡資料失竊的事件。但不小人沒有留意引發此事件的，其實是一間美國，甚至是全球其中一間最大的特惠服飾及家居用品連鎖店。TJX信譽良好，旗下擁有八間公司，超過二千三百間連鎖店舖，在《財富》雜誌五百大企業中排名第一百三十八，二○○五年總營業額達一百六十億美元。但規模大如TJX仍被黑客入侵該公司的電腦系統，竊取至少四千五百七十萬張信用卡及扣帳卡的資料。


圖: 零售商應注重對客户信用卡資料的保護，以免被不法份子盜取犯案

經過多個月的調查，專家估計黑客很可能是透過分店的Wireless LAN無線網絡入侵TJX的中央電腦系統，從而竊取信用卡資料和交易數據。

事件不但暴露出在科技高速發展下，企業對網絡保安，尤其是無線網絡保安知識的貧乏，也揭示出企業對客户的重要資料及私隱保障不足，因而成為歹徒覬覦的犯罪目標。

由於網路威脅的本質不斷快速變化，企業的IT人員必須對於新出現的安全性問題有所警覺。就以TJX為例，它的WiFi無線網絡在案發時其實已使用了「有線等效私密」（Wired Equivalent Privacy，WEP）安全機制 。但問題是，WEP 早已被證明是一種不安全的技術，它的設計使竊聽者能夠相當簡單地解碼 WEP 加密的消息，從而獲得對網路和資料的存取，因此不適合於企業使用。而更有效更安全的無線安全機制如「Wi-Fi保護存取」(Wi-Fi Protected Access, WPA) 或WPA2 ，早已在市場推出，但明顯地TJX的IT人員未能了解及早提昇無線網路保安的重要性。此外公司亦未有加入其他保密防諜設定，例如設立無線Demilitarized Zone (DMZ) 區 ，把無線網絡放置於外部網絡上，等同互聯網，由「防火牆」及「虛擬私人網絡」 (VPN) 管理進入內部網絡的交通，避免入侵者直接入侵心臟地帶。

此外，TJX另一明顯的過失是沒有對客户的敏感資料如信用卡資料作出適當的處理及保護。信用卡認證資料只是在信用卡交易「確認過程」中供「電子轉帳終端機」(EFTPOS)使用，商户並無權把完整的資料保留在企業的數據庫。嚴格來說，TJX是違反「支付卡產業數據安全標準」（Payment Card Industry Data Security Standard, PCI DSS），未能有效保護信用卡持有人敏感的信用卡認證資料。如果TJX沒有私自保留客户的信用卡資料，相信被入侵後所引發的後果也未至如此嚴重。

TJX前後被盜去四千多萬名客戶的資料，事件持續了年半後才被發現，除了要花上逾五百萬美元調查事件外，同時亦面臨客戶和信用卡發行公司的訴訟。本港的零售商應以此為誡，在享用科技提昇營運效率的同脟時，亦應重視網絡及系统的保安及保密，尊重客户資料的私隱；同時在挑選IT或網絡設備時，亦切忌只從價格考慮，更不應以家用的設備用於商業上，以免引至「一身蟻」。

註: 倘若讀者在作出決定時仍感到猶疑，可以尋求中立的第三者意見。如對Wi-Fi無線保安設定有進一步查詢，可與香港無線科技商會(WTIA)連絡，網址 http://www.hkwtia.org/ ；如對「電子轉帳終端機」及「支付卡產業數據安全標準」的保安設定有進一步查詢，可與香港零售科技商會(RTIA)連絡，網址 http://www.hkrtia.org/

作者: Ken Fong
原文刊載於 2007年12月24日 第110期 《資本一週》Capital Weekly 內之《 數碼健談》

* 2008-01-24 TVB 新聞透視亦會有"WiFi危機"專題，大家敬請留意